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PREFACE | 中 文 版 序 


资产 证 券 化 可 能 成 为 区 块 链 最 好 的 一 个 应 用 
/ 谢 平 


区 块 链 ， 这 个 原本 “高 冷 ” 的 技术 词汇 ， 自 2015 年 以 来 ， 引 起 了 当前 一 
波 又 一 波 最 为 火热 的 争议 。 到 底 什 么 是 区 块 链 呢 ? 一 般 人 都 是 因为 知道 比特 
币 而 知道 了 区 块 链 ， 也 都 知道 区 块 链 是 比特 币 的 一 项 关键 底层 技术 ， 通 俗 些 
说 ， 它 就 像 是 一 个 数据 库 账 本 ， 安 全 记录 所 有 的 比特 币 交 易 信 息 。 按照 专 家 
们 更 为 专业 的 解释 来 说 ， 该 技术 的 实质 是 ,不 同 的 市 点 共同 参与 的 分 布 式 数 
据 库 ， 是 一 个 开放 式 的 公共 上 账 湾 。 从 数据 包 形 成 区 块 ， 中 间 有 一 个 加 密 的 哈 
布什 计算 (密码 学 技术 )， 把 不 同时 间 段 的 交易 信息 链接 起 来 ， 就 形成 了 区 
块 链 ， 

司 用 是 全 可 汪 权 的 介 芋 。 呈 全 到 守卫 行业 人 们 正 是 希望 能 够 通过 区 块 
链 技 术 ， 低 成 本 地 解决 金融 活动 中 的 信任 问题 。 传 统 金融 体系 安排 中 ， 所 有 
机 构 包括 产 品 登记 、 证 券 发 行 与 交易 、 信 息 披露. 

geht 都 是 解决 信任 问题 或 者 说 金融 中 最 为 核心 的 信息 不 对 称 问 
， 由 于 信任 问题 是 一 直 难 以 解决 的 社会 问题 ， 所 以 ,我 们 这 个 社会 有 很 多 
mpl 从 反面 来 说 ， 本 次 让 市 场 投资 者 失去 信心 的 长 达 10 年 的 全 球 
金融 人 危机， 全 球 贷 币 与 资产 价值 的 不 稳定 ， 就 是 数字 货币 和 区 块 链 技术 被 国 
内 外 众多 金融 机 构 和 个 人 追捧 的 一 个 重要 背景 ， 区 块 链 技术 给 我 们 创造 了 一 
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个 用 “ 共 信 力 ” 来 解决 公信 力 问 题 的 途径 。 

互联 网 科技 与 传统 金融 机 构 有 待 进一步 的 融合 。 比 如 银行 业 ， 怠 再 归 更 
加 重视 业务 经 营 管理 的 数字 化 、 智 能 化 建设 ， 更 加 深入 地 推广 应 用 移动 互联 、 
大 数据 、 云 计算 、 人 工 智能 等 先进 技术 ， 以 科技 改造 业务 、 以 科技 推动 创新 。 
正 是 在 这 样 的 思想 和 认识 下 ， 我 认为 区 块 链 技术 也 可 能 为 包括 银行 、 保 险 在 
内 的 机 构 提 供 当 前 许多 问题 的 解决 方案 ， 不然 当前 很 多 以 该 技术 为 核心 的 金 
融 科技 公司 并 没有 存在 的 必要 。 男 一 方面 ， 银 行家 们 也 明 昌 ,区 块 链 不 会 十 
银行 终结 的 信号 ， 区 块 链 可 以 帮助 银行 和 金融 机 构 寻 找 新 的 机 会 ,更 好 地 服 
务 客 户 。 

由 于 对 数字 货币 与 区 块 链 有 一 定 的 兴趣 ，, 硕 望 增加 认识 和 了解 ， 我 与 本 
书 译 者 林 华 教授 畅谈 了 上 面 的 认识 与 体会 。 这 本 车 作 是 根据 普林斯顿 大 学 公 
开课 改编 的 一 部 教材 ， 主 要 讨论 了 比特 币 的 一 系列 重要 问题 。 比 如 ， 书 中 看 
重 介 绍 了 比特 币 的 运作 方式 、 比 特 币 与 众 不 同 的 技术 知识 、 比 特 币 安全 性 如 
何 保障 、 比 特 币 的 匿名 性 特征 、 区 块 链 如 何 玫 助 比 特 币 实现 没有 刁 份 的 共识 、 
人 们 在 比特 币 这 一 平台 上 可 以 创建 哪些 应 用 程序 、 比 特 币 的 存储 和 使 用 、 比 
特 币 挖 矿 、 比 特 币 监管 ,以 及 作者 们 对 比特 币 的 未 来 发 展 展望 ,我 认为 ， 在 
阅读 完 如 此 专业 的 教材 之 后 ， 对 当前 热 议 的 比特 币 和 区 块 链 的 各 种 争议 观点 ， 
我 们 就 可 以 具备 去 伪 存 下 的 能 力 ， 或 许 还 能 掌握 基础 概念 ， 并 能 够 开发 出 安 
全 的 、 能 与 比特 币 网 络 互动 的 软件 ， 甚 至 能 够 把 比特 币 相 关 理 论 应 用 于 自己 
的 项 目 中 ， 

林 教 授 曾 经 告诉 我 ， 资 产 证 券 化 与 区 块 链 有 一 个 很 好 的 结合 点 ， 这 是 我 非 
常 感 兴趣 的 一 件 事 。 众 所 周知 ， 区 块 链 被 人 们 认识 主要 起 源 于 比特 币 。 比 特 币 
的 本 质 是 数字 货币 ， 区 块 链 的 本 质 在 于 它 是 一 个 分 布 式 账本 ， 而 货币 系统 本 身 
就 是 一 个 账本 ， 这 是 它们 能 够 天 然 结 合 在 一 起 的 很 好 解释 。 只 不 过 ， 原 来 的 货 
币 系 统 账 本 是 由 央行 控制 和 维护 的 ， 现 在 区 块 链 则 是 分 布 式 的 〈 也 有 说 成 所 谓 
的 去 中 心 化 ) ， 是 大 家 一 起 共同 维护 的 一 个 账本 。， 

资产 证 券 化 和 区 块 链 如 何 结合 呢 ?一 直 专 长 于 资产 证 券 化 的 林 教 授 告 诉 我 
说 ， 数 字 仙 币 的 一 个 延伸 在 于 代 币 (Token Coin) ， 什 么 是 代 币 呢 ? 就 是 把 资产 
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变 成 货币 ， 代 币 作 为 资产 使 用 权 的 证 明 ， 或 者 资产 内 在 价值 的 所 有 权证 明 。 资 
产 变 成 货币 ， 就 是 一 种 证 养 化 ， 如 果 我 们 能 够 建立 一 个 账本 ， 将 资产 证 券 化 池 
子 中 的 资产 ， 全 部 挪 到 这 个 账本 上 ， 基 础 资产 的 各 种 特征 都 做 好 标记 ， 不 断 循 
环 ， 按 交易 时 间 更 新 区 块 ， 不 可 算 改 ， 定 期 跟踪 ， 就 能 够 实现 资产 证 券 化 与 区 
块 链 的 一 个 有 效 结合 。 资 产 挪 到 账本 ， 还 需要 从 三 个 层面 来 说 ， 第 一 个 层面 是 
资产 ， 第 三 个 层面 是 账本 ， 中 间 需 要 一 个 开关 或 者 说 场景 ， 形 成 一 个 映射 关系 ， 
即将 资产 映射 到 对 应 账本 上 ， 实 现 所 谓 的 货币 化 ， 中间 层 需要 一 个 场景 ， 最 可 
能 的 场景 就 是 交易 所 ， 可 以 实现 资产 和 货币 的 交易 。 

当然 ， 我 和 林 华 教授 都 一 致 认为 这 背后 还 有 一 个 担心 ， 从 金融 角度 来 
看 ， 区 块 链 在 技术 上 仍然 不 够 成 熟 ， 尤 其 是 在 交易 环节 。 国 内 外 许多 专家 都 
明确 估计 过 ， 区 块 链 技术 可 能 还 需要 3 ~5 年 时 间 才 能 真正 成 熟 。 在 这 样 的 到 
景 下 ， 如 果 区 块 链 技术 被 滥用 ， 就 会 树 酿 很 大 的 风 险 ， 就 好 比 前 两 年 的 比特 
币 投机 潮 一 样 . 我 认为 ， 如 果 区 块 链 在 交易 活动 中 的 跟踪 、 项 目 资 金 使 用 的 
全 程 监控 以 及 智能 资产 合约 所 需要 的 风险 控制 措施 等 效用 发 挥 不 出 来 ， 只 是 
利用 分 布 式 的 分 散 管理 效果 ， 和 硕 望 在 没有 一 个 第 三 方 公 信 力 机 构 的 情形 下 保 
证 信用 ， 其 结果 会 很 容易 摘 得 像 P2P 中 的 债权 分 拆 分 包 一 样 ， 现 实 中 的 风险 
并 设 有 缩小 ， 只 是 被 转移 分 散 到 广大 投资 人 中 去 ， 最 后 出 现 我 们 看 到 的 P2P 
机 构 跑 路 现象 ， 更 要 防范 的 是 ， 现 有 的 P2P 都 将 月 己 做 的 债权 分 拆 ， 包 装 成 
所 谓 的 区 块 链 金融 .正如 北京 金融 工作 局 稚 学 文 局 长 近期 所 说 的 , “如 果 现 在 
不 规范 区 块 链 技 术 ， 它 又 会 成 为 非法 金融 活动 的 来 源 ”。 因此， 我 个 人 也 强 列 
呼吁 ， 我 们 要 发 展 的 其 实 是 符合 金融 监管 和 行业 规则 的 技术 创新 ， 如 果 在 区 
块 链 技 术 基 础 上 从 事 不 规范 的 金融 行为 的 话 ， 也 会 造成 新 的 非法 集资 或 者 金 
融 不 稳定 的 来 源 

不 过 ， 我 依然 看 好 区 块 链 技术 在 金融 领域 的 运用 ， 它 不 仅仅 是 货币 创造 ， 
而 且 是 价值 传输 与 公共 账户 。 现 在 国内 外 很 多 金融 机 构 在 价值 传输 ， 比 如 在 支 
付 结算 、 资 产 登 记 以 及 资产 转让 等 方面 也 都 有 积极 的 探索 。 同 时 ， 由 于 区 块 链 
是 一 个 公开 、 透 明 、 可 奶 溯 、 不 可 算 改 的 分 布 式 总 账 系统 ， 区 块 链 技术 可 以 有 
效 降低 文 付 、 清 算 、 结 算 步 又 的 出 错 率 ， 同 时 监控 每 一 步 资 金 的 流入 流出 情况 ， 
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是 推动 诚信 社会 建立 的 有 效 手 段 ， 区 块 链 有 利于 金融 监管 的 一 面 。 随 着 监管 与 
市 场 主体 对 区 块 链 技术 的 认识 不 断 加 深 ,以 及 该 技术 不 断 走向 成 熟 来 保证 资产 
的 真实 性 ， 和 林 教 授 一 样 ， 我 相信 资产 证 券 化 极 有 可 能 成 为 区 块 链 最 好 的 一 个 
应 用 。 

基于 以 上 的 理解 和 认识 ， 我 欣然 为 林 华 教授 这 部 翻译 作品 作 序 。 


谢 平 
2016 年 7 月 
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区 块 链 到 后 是 什么 ? 
/ 表 凡 \ 


有 关于 区 块 链 是 什么 的 话题 ， 在 时 下 的 中 国 ， 可 能 已 经 被 包括 我 自己 在 内 
的 人 说 成 了 陈 词 滥 调 了 。 但 是 每 每 我 们 都 会 看 到 这 样 一 种 情形 一些 我 们 认为 
已 经 是 常识 的 概念 ， 却 往往 别 有 洞 天 ! 借 着 《区 块 链 : 技术 驱动 金融 》 中 文 版 
出 版 之 际 ， 我 愿意 把 我 最 近 对 区 块 链 概念 的 反刍 心 得 写 下 来 ， 作 为 这 本 书 的 扒 
荐 序 。 

区 块 链 首先 是 一 种 社会 思潮 。 它 预示 着 人 类 社会 转型 、 换 代 的 新 时 代 的 到 
来 。 区 块 链 的 社会 学 基础 是 凯 文 . 凯利 《失控 》 一 书 里 观察 及 论述 到 的 基于 生 
物 逻 辑 的 自然 、 社 会 、 技 术 的 进化 规律 : 分 布 式 、 去 中 心 ; 从 边缘 到 中 心 再 到 
边缘 ， 从 失控 到 控制 再 到 失控 。 微 信之 父 张 小 龙 奉 《 失 控 》 为 自己 行动 指南 的 
行为 ， 最 好 地 说 明了 互联 网 时 代 的 组 织 及 经 济 发 展 规 律 已 经 变 了 。 区 块 链 的 技 
术 基 础 是 分 布 式 网 络 架构 ， 正 是 因为 分 布 式 网 络 技术 的 成 熟 ， 去 中 心 、 弱 中 心 、 
分 中 心 及 共享 、 共 识 、 共 担 的 组 织 架构 、 商 业 架 构 和 社会 架构 才 有 可 能 有 效 建 
立 起 来 。 本 书 就 是 从 工程 技术 的 角度 来 介绍 基于 分 布 式 网 络 架构 的 区 块 链 技 术 
的 ， 分 布 式 网 络 架构 对 人 类 社会 的 影响 和 冲击 ， 也 许 我 们 都 还 无 法 估计 ， 不 可 
测量 ! 

当然 ， 任 何事 物 都 是 精华 与 糟粕 相生 相伴 、 优 点 与 缺点 共存 共 荣 的 ， 区 块 
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Manoowits ”区 块 链 ， 技术 驱动 金融 


链 技 术 也 一 样 。 在 社会 实践 中 我 们 已 经 看 到 ， 传 统 金 融 机 构 在 接受 区 块 链 技术 
的 精华 的 同时 ,已 经 扬弃 了 区 块 链 技 术 当 中 的 纯粹 去 中 心 化 的 无 政府 主义 色彩 
和 对 人 人 都 可 以 发 行货 币 的 去 管制 、 去 监管 的 追求 。 

区 块 链 其 次 是 一 串 技术 组 合 。 第 一 ， 它 是 分 布 式 账 本 : 全 部 机 构 一 本 总 账 、 
各 种 事务 一 本 总 账 ; 第 二 ， 它 是 新 型 数据 库 : 没有 中 心机 房 ， 没 有 运 维 人 员 ， 
第 三 方 按 共识 算法 录入 数据 ， 非 对 称 加 密 算法 保证 数据 安全 ， 数 据 客观 可 信 ， 
不 可 算 改 ; 第 三 ， 它 是 智能 合约 : 是 一 段 能 够 自动 执行 约定 条 件 的 计算 机 程序 ， 
依靠 智能 合约 技术 ， 理 想 中 的 世界 就 好 像 一 台 精 密 运 行 的 计算 机 ， 一 切 都 可 以 
事先 约定 ， 编 成 代码 ， 依 程序 行事 ; 第 四 ， 它 是 TCPAIP 模型 (互联 网 模型 ) 里 
的 点 对 点 价值 传输 协议 ， 它 的 发 明 标 志 着 过 去 20 几 年 ， 互 联网 技术 在 帮助 人 们 
更 好 地 进行 信息 传输 之 后 ， 开 始 帮 助人 们 可 以 不 借助 任何 第 三 方 的 信任 背书 ， 
点 对 点 、 端 到 端 、P2P 地 来 传递 、 交 易 、 文 付 、 汇 竞价 值 物 ， 互 联网 从 此 进入 
新 时 代 : 价值 互联 网 时 代 到 来 了 ! 

区 块 链 还 是 FinTech (金融 科技 ) 的 核心 。 继 互联 网 金融 之 后 ， 金 融 科 技 最 
近 大 热 大 火 。 我 们 注意 到 ， 前 几 年 互联 网 金融 在 中 国 活 跃 的 时 候 ， 欧 美国 家 几 
平 不 为 所 动 。 而 最 近 一 年 ， 欧 美国 家 反 过 来 把 金融 科技 的 火把 传输 到 了 中 国 ， 
在 互联 网 金融 一 地 鸡毛 的 时 候 ， 点 燃 了 中 国 金融 创新 的 新 热点 。 一 开始 我 也 认 
为 ， 互 联网 金融 和 金融 科技 应 该 就 是 一 回 事 。 但 细 细 想 想 ， 它 们 之 间 虽 然 没 有 
本 质 不 同 ， 却 还 是 重心 各 有 侧 偏 。 互 联网 金融 侧重 于 场景 革命 ， 而 金融 科技 侧 
重 于 技术 羊 命 ; 进一步 ， 互 联网 企业 拥有 场景 优势 ， 所 以 在 互联 网 金融 阶段 挟 
场景 的 优势 ， 略 胜 传 统 金融 机 构 一 筹 。 其 实 就 连 互联 网 公司 本 身 ， 也 有 场景 能 
力 的 高 低 之 分 ， 电 商 和 社交 网 络 公 司 创建 场景 的 能 力 最 强 ， 所 以 互联 网 金融 的 
能 力也 就 最 大 。 其 他 类 型 的 互联 网 公司 ， 基 本 难以 望 其 项 背 . 

向 就 金融 科技 而 言 ， 侧 重 的 是 云 计算 、 大 数据 、 机 器 学 习 、 人 工 智 能 等 创 
新 技术 。 技 术 是 中 立 的 ， 这 意味 着 : 一 是 技术 公司 固然 有 技术 先 发 优 势 ， 但 金 
融 机 构 在 应 用 先进 技术 方面 也 没有 不 可 逾越 的 障碍 ; 二 是 技术 逻辑 必须 与 业务 
风 辑 结合 才能 创造 价值 ， 而 金融 机 构 在 业务 逻辑 方面 相 比 技术 公司 有 优势 ， 业 
务 迎 辑 的 经 验 积累 也 是 需要 时 间 和 过 程 的 。 无 怪 乎 最 近 我 们 看 到 太 多 的 互联 网 
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中 文 版 序 
区 块 链 到 底 是 什么 ? 


公司 到 金融 机 构 控 人 的 消息 ， 因 为 在 金融 科技 阶段 ， 互 联网 公司 急需 懂得 业务 
逻辑 的 金融 人 才 。 

面 对 互 联网 公司 的 业务 竞争 ， 过 去 几 年 金融 机 构 的 应 对 举措 大 概 分 三 拓 : 
一 是 无 力 回 天 ， 沦 为 通道 ; 二 是 热情 拥抱 ， 全 面 对 接 ; 三 是 日 建 场 丸 ,创新 模 
式 。 我 们 其 实在 多 年 以 前 就 已 经 看 到 过 飞信 与 微 信 演绎 的 故事 了 ， 它 已 经 充分 
说 明了 切 勿 以 已 之 短 捕 人 之 长 的 道理 。 

金融 科技 有 可 能 是 金融 机 构 在 与 互联 网 公司 业务 将 和 争 中 的 一 次 最 好 的 机 会 ， 
因为 技术 面前 人 人 平等 。 

所 以 我 们 看 到 ， 这 一 次 华尔街 表现 出 来 的 热情 超越 硅谷 。 华 尔 街 的 金融 机 
构 都 纷纷 表白 自己 是 一 家 科技 公司 或 幼 上 将 成 为 一 家 科技 公司 。 

区 块 链 可 以 算得 上 是 金融 科技 里 的 核心 技术 。 因 为 区 块 链 技术 是 金融 业 的 
底层 技术 羊 命 。 大 家 知道 ， 现 代 银 行业 起 源 于 意大利 。 之 所 以 起 源 于 意大利 ， 
一 是 意大利 是 欧洲 最 早 开 始 海洋 贸易 的 地 区 ， 复 杂 的 、 高 风险 的 海洋 贸易 必然 
需要 相配 套 的 金融 服务 ; 二 是 意大利 人 发 明了 复式 记 账 法 ,使 得 复杂 的 经 济 活 
动 在 会 计 上 可 计量 。 复 式 记 账 法 几 特 年 来 一 直 没 有 重大 的 改进 ， 区 块 链 技术 将 
是 目 复 式 记 账 法 被 发 明 以 来 ， 人 类 社会 记 账 方法 的 第 一 次 革命 性 改进 。 作 为 分 
布 式 账本 技术 ， 区 块 链 必 将 给 任何 需要 记 账 的 行业 市 来 降低 成 本 、 提 高 效率 、 
创新 业务 、 创 新 服务 的 机 会 。 金 融 业 因为 其 早已 经 数字 化 的 特点 ， 首 当 其 冲 ， 
也 必 先 索 其 利 ! 

最 后 ,希望 本 书 的 出 版 能够 从 工程 技术 层面 ， 推 动 区 块 链 技 术 在 中 国 的 
发 展 ， 推 动 相 关 应 用 的 落地 。 祝 《区 块 链 : 技术 驱动 金融 》 一 纸 风 行 ! 


肖 风 
2016 年 8 月 
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INTRODUCTION | 译 者 前 言 


这 是 一 本 关于 比特 币 和 区 块 链 技术 的 专业 著作 ， 起 源 于 业内 所 熟知 的 比特 
币 和 加 密 货 币 技术 的 普林斯顿 网 络 公 开课 。 以 普林斯顿 大 学 计算 机 科学 助理 教 
授 阿 尔 文 德 ， 纳 拉 亚 南 (Arvind Narayanan) 为 首 的 专家 ， 与 我 们 分 享 了 他 们 关 
于 数字 货币 与 区 块 链 的 权威 研究 成 果 和 重要 理论 观点 。 

目前 ， 国 内 对 于 比特 币 和 区 块 链 技 术 的 热 捧 和 争议 , 或 者 将 其 过 度 神秘 化 ， 
或 者 将 其 贬斥 得 一 无 是 处 ， 还 有 很 多 别有用心 的 人 不 适当 地 鼓吹 ， 正 是 反映 出 
人 们 并 没有 真正 搞 清 楚 到 底 什 么 是 比特 币 ， 它 在 技术 层面 到 底 是 如 何 运 作 的 。 
“他 山 之 石 ， 可 以 攻 玉 。” 本 书 讨 论 的 是 比特 币 的 一 系列 重要 问题 。 比 特 币 是 如 
何 运 作 的 ? 它 因 何 而 与 众 不 同 ? 你 的 比特 币 安 全 吗 ? 比特 币 用 户 如 何 匿名 ? 我 
们 可 以 在 比特 币 这 一 平台 上 创建 什么 应 用 程序 ? 加 密 数 字 货 币 可 以 被 监管 吗 ? 
创建 一 种 新 的 数字 货币 将 会 审 来 什么 样 的 变化 ? 未 来 将 会 如 何 发 展 ” 本 书 中 ， 
作者 承认 比特 币 及 区 块 链 技术 为 各 种 领域 带 来 了 苏 覆 性 的 创新 ， 但 他 们 并 不 认 
可 那 种 以 去 中 心 化 为 目的 的 观点 ， 

我 和 王 勇 教授 积极 联系 与 申请 ,与 中 信 出 版 社 合作 ， 通 过 激烈 的 竞争 拿 到 
了 本 书 的 翻译 版 权 ， 书 中 内 容 的 专业 性 非常 强 ， 从 翻译 初稿 到 终 稿 ， 经 过 接近 
一 年 的 辛勤 和 努力 ， 终 于 完成 了 本 书 的 翻译 。 

在 此 ， 我 首先 要 感谢 中 国 投资 公 司 前 副 总 经 理 谢 平 先生 和 中 国 万 向 控股 有 
限 公司 副 董 事 长 省 风 先 生 不 酬 辛 盏 ， 亲 自 提 笔 为 本 书 作 推荐 序 . 感谢 金融 时 报 
社 社 长 邢 早 忠 先生 、 北 京 市 金融 工作 局 局 长 霍 学 文 先 生 、 浦 发 银行 行 长 刘 信义 
到 生 、 厦 门 国 家 会 计 学 院 院 长 黄 世 忠 先 生 以 及 深圳 前 海 金融 资产 交易 所 总 经 理 
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ws ”区 块 链 ， 技术 驱动 金融 


唐 斌 先生 为 本 书 撰写 推荐 词 ， 感 谢 您 们 的 鼓励 和 文 持 。 

我 要 感谢 参与 本 书 翻 译 的 每 一 位 译 者 。 感 谢 帅 初 提供 了 1 ~9 曹 的 翻 详 初 
稿 ， 获 凯 龙 提供 了 其 余 两 章 和 原版 前 言 的 翻译 初稿 。 由 于 本 书 涉 及 多 个 专业 领 
域 ， 翻 译 初稿 在 专业 性 和 体例 统一 等 方面 有 待 完善 ， 我 组 织 了 所 有 人 幸 者 进行 重 
泽 和 修订 。 其 中 ， 高 晓 婧 负责 前 言 与 第 7 章 , 王 勇 负责 第 1 草 和 第 2 草 ， 潜 海 负 
责 第 3 章 和 第 4 章 ， 棕 凯 龙 负责 第 5 章 ， 许 余 洁 负责 第 6 草 和 第 10 间 ， 李 炊 光 
负责 第 8 章 、 第 9 章 和 第 11 章 。 我 、 王 勇 和 许 余 清 确定 了 全 书 的 术语 表 ， 并 一 
同 再 三 审 校 全 书 。 许 余 洁 在 整体 校 稿 的 基础 上 ， 还 多 次 与 出 版 社 老 师 们 对 接 书 
稿 的 最 后 内 容 的 完善 。 每 一 位 译 者 都 在 工作 之 余 花 了 很 多 时 间 精 推 细 敲 、 反 复 
其 酌 原 文 和 译文 ， 几 经 修订 才 使 本 书 得 以 呈现 在 读者 面前 ， 感 谢 每 一 位 译 者 的 
辛 昔 付 出 ， 也 因此 我 们 采用 联合 车 名 的 详 闭 方式 。 

另外 ， 我 要 感谢 杨 昌 丽 、 黄 红 华 、 韩 世 光 、 董 方 朋 、 王 克 祥 等 对 本 书 在 翻 
译 过 程 中 所 提供 的 帮助 。 

最 后 ， 我 还 要 感谢 中 信 出 版 社 编辑 的 精心 编校 ， 没 有 大 家 精益 求 精 的 团队 
努力 与 合作 ， 这 本 书 的 中 文 版 本 不 可 能 如 此 顺利 与 读者 见面 。 

区 块 链 技术 在 中 国 的 健康 发 展 ， 还 是 要 基于 我 国 监 管 的 框架 和 效 辑 下 ， 与 
适当 的 行业 进行 有 效 结合 。 我 们 衷心 地 祝愿 本 书 的 引进 ， 能 够 有 助 于 大 家 正确 
理解 比特 币 金 融 技术 的 创新 与 发 展 。 


林 华 
2016 年 7 月 于 北京 
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PREFACE | 原版 引言 


比特 币 和 加 密 数字 货币 是 当前 的 热门 话题 。 乐 观 主义 者 认为 比特 币 将 从 根 
本 上 改变 人 们 的 支付 方式 、 全 球 经 济 甚至 政治 格局 ;， 翡 观 者 则 认为 它 生来 就 不 
完美 ， 其 失败 是 注定 且 彻 底 的 。 

an 这 些 分 歧 之 所 以 存在 ， 是 因为 人 们 没 弄 清楚 到 底 什 么 是 比特 币 以 

是 如 何 运作 的 。 本 书 的 目的 就 是 帮助 人 们 跌 过 嗪 头 切入 重点 ， 看 清 比 特 币 的 
iene i 我 们 需要 了 解 它 在 技术 层面 的 运作 模式 。 比 
特 币 是 一 项 新 兴 技 术 。 把 它 与 现 有 技术 进行 简单 类 比 ， 很 难 帮助 我 们 做 到 这 一 点 

癌 全 二 昨 站 其 于 是 和 吧 汪 的 这 划 几 这 直属 让 关机 丙 二 相 让 是: 发 必 
结构 和 算法 ， 拥 有 一 定 的 编程 经 验 。 如 果 你 是 一 名 计算 机 专业 本 科 生 或 研究 生 、 
软件 工程 师 、 创 业者 或 技术 爱好 者 ， 那 么 这 本 书 很 适合 你 。 

本 书 将 讨论 比特 币 的 一 系列 重要 问题 : 比特 币 是 如 何 运 作 的 ? 它 因 何 而 与 
众 不 同 ? 你 的 比特 币 安全 吗 ? 比特 币 用 户 如 何 匿 名 ? 我 们 可 以 在 比特 币 这 一 平 
人 台 上 创建 什么 应 用 程序 ?加 密 数字 货币 可 以 被 监管 吗 ? 创建 一 种 新 的 数字 货 
将 会 带 来 什么 样 的 变化 ? 未 来 将 会 如 何 发 展 ? 

完成 本 书 的 学 习 之 后 ， 对 比特 币 和 加 密 数字 货币 的 观点 ， 你 应 该 具备 了 去 
伪 存 真 的 能 力 ; 同时 也 掌握 了 基础 概念 ， 能 够 开发 出 安全 的 、 能 与 比特 币 网 络 
互动 的 软件 ; 还 可 以 把 比特 币 相关 理论 应 用 于 目 己 的 项 目 中 。 


本 书 网 上 补充 阅读 材料 中 ， 还 包含 系列 配套 练习 题 ， 可 以 帮助 你 更 深入 理 
解 每 一 章节 。 此 外 ， 你 还 需要 运用 到 一 些 要 求 运 用 比特 币 的 简化 模型 ， 来 完 
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成 一 系列 编程 任务 。 本 书 的 大 部 分 内 容 都 有 视频 ， 如 有 需要 ， 可 以 在 免 
费 公 开 在 线 课程 上 获得 (补充 材料 获取 网 址 为 : http://press. princeton. 
”edu/titles/10908. html) 。 同 时 ， 建 议 读者 补充 比特 币 相关 知识 ， 你 可 以 阅读 
比特 币 维基 、 论 坛 、 研 究 报告 ， 并 与 比特 币 从 业者 及 兴趣 相同 的 人 进行 


讨论 。 


”Coursera， 是 免费 大 型 公开 在 线 课程 项 目 ， 由 美国 斯 坦 福 大 学 两 名 计算 机 科学 教授 创办 。 呈 在 同 世 
界 项 尖 大 学 合作 ， 在 线 提供 免费 的 网 络 公开 课程 。 一 译 者 注 
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通 往 比 特 币 的 漫长 道路 
/ 杰 里 米 : 克拉 殉 (Jeremy Clarek ) 


在 通 往 比特 币 的 道路 上 ， 布 满 了 无 数 失败 的 尝试 。 我 收集 了 一 份 由 约 100 
个 加 密 支付 系统 组 成 的 名 单 。 它 们 的 技术 基于 电子 现金 (e-cash) 和 信用 卡 ， 在 
某 些 方面 获得 显著 成 就 ， 见 表 0. 1。 其 中 一 些 是 被 广泛 引用 的 学 术 研 究 成 果 ， 还 
有 一 些 是 已 开发 和 测试 过 的 实 实在 在 的 系统 。 在 这 份 名 单 上 ， 被 大 家 所 知 的 大 
概 只 有 一 个 一 一 贝 宝 ( PayPal)。 而 贝 宝 之 所 以 六 存 ， 得 益 于 它 及 时 纠正 了 最 初 
想 在 移动 设备 上 进行 加 密 支 付 这 一 想法 。 

这 段 历 史 会 让 我 们 吸取 很 多 教训 。 比 特 币 的 想法 从 何 而 来 ? 为 什么 一 些 技 
ee iin 
不 去 思考 这 些 ， 它 至 少 让 我 们 明白 ， 一 个 真实 可 行 的 基于 互联 网 的 支付 体系 是 
pape 


传统 金融 体系 

设想 在 政府 和 货币 出 现 之 前 ， 人 们 以 物 物 交 换 的 方式 进行 着 交易 。 上 比如 ， 
爱丽 丝 ( Alice) 需要 工具 ， 鲍 勃 ( Bob) 需要 药品 。 如 果 他 们 正好 都 有 对 方 所 
需 物 品 ， 就 可 以 进行 交换 ， 满 足 各 自 所 需 。 

但 是 ， 如 果 爱 丽 丝 有 食物 ， 愿 意 拿 食 物 换 工具 ， 鲍 过 有 工具 但 不 需要 食物 ， 
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表 0.1 一 些 优秀 的 电子 支付 系统 和 构想 


ACC (CyberCents IKP MPTP Proton 

Agora CyberCoin IMB-MP Net900 Redi-Charge 
AIMP Cyber(sold InterCoin NetBill SIPAY 
Allopass DigiGold Ipin NetCard Sandia Lab E-Cash 
b-money Digital Silk Road Javien NetCash Secure Courier 
BankNet e-Comm Karma NetCheque Semopo 

Bithit 上 -Gold LotteryTickets NetFare SET 

Bitgold Ecash Lucre No3rd SET2G0 
Bitpass eCharge Magic Money One Click Charge SubScrip 
C-SET eCoin Mandate PayMe Trivnet 

CAFE Edd MicroMini PavNei TUB 
Checkfree eVend Micromoney PayPal Twitpay 
ClickandBuy First Virtual MilliCent PaySafe(ard VeriFone 
ClickShare FSTC Electronic Check Mini-Pay PayTrust VisaCash 
(:ommerceNet Geldkarte Minilix Pay Word Wallie 
CommercePOINT Globe Left MobileMoney Peppercoin Way2Pav 
CommerceSTAGE ”Hashcash Mojo PhoneTicks WorldPay 
Cybank HINDE Mollie Playspan X-Pay 
CyberCash iBill Mondex Polling 





他 想 要 药品 。 在 这 种 情况 下 ， 爱 丽 丝 和 鲍 勃 就 没 法 直接 与 对 方 交 易 。 但 是 
果 有 另 一 个 人 卡 罗 尔 ( Carol) ， 他 有 药品 ， 而 且 愿 意 全 药品 换取 食物 。 那 么 
三 个 人 就 可 以 进行 交易 ， 各 自 获 得 所 需 物 品 。 
当然 ， 难 点 在 于 协调 ， 即 组 织 一 群 供需 匹配 的 人 在 同一 时 间 、 同 一 地 点 进 
行 区 易 。 为 解决 这 一 难点 ， 出 现 了 两 个 体系 : 信用 和 现金 。 二 者 哪个 更 早出 现 ， 
历史 学 家 、 人 类 学 家 和 经 济 学 家 们 就 此 争论 不 体 ， 但 这 对 本 书 的 讨论 无 关 紧 要 。 
在 上 面 的 例子 中 ,在 信用 体系 里 ， 爱 丽 丝 和 鲍 勃 可 以 与 对 方 交 易 。 鲍 勃 给 
爱丽 丝 她 所 需 的 工具 ， 得 到 一 个 人 情 。 换 言 之 ， 爱 丽 丝 欠 下 一 笔 债 务 ， 未 来 终 
onion ep degre 
因此 ,她 又 有 了 新 的 需求 。 然 后 ， 爱 丽 丝 又 遇 到 了 卡 软 尔 ， 她 可 以 用 自己 的 食 
物 交 换 卡 罗 尔 的 药品 ， 然 后 后 把 药品 给 鲍 过 。 这 样 ， 她 就 偿还 了 债务 。 
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对 比 而 言 ， 在 现金 体系 里 ， 爱 丽 丝 可 以 购买 鲍 勃 的 工具 ， 然 后 把 食物 卖 给 
卡 罗 尔 ， 卡 罗 尔 再 把 药品 卖 给 鲍 勃 ， psa 


有 充足 的 现金 ， 这 些 交 易 就 可 以 按 任意 顺序 发 生 。 ， 最 终 的 结 采 是 ， 看 上 
去 现金 似乎 从 未 易 过 于 。 


很 难说 这 两 个 体系 哪个 更 优越 。 现 金 体 系 首 先 震 要 现金 分 配 来 触发 ， 否 则 区 
易 无 法 发 生 。 信 用 体系 不 需要 这 样 ， 但 债权 人 需要 承担 债务 人 不 傍 还 债务 的 风险 。 

现金 还 可 以 让 我 们 知道 物品 的 准确 价值 。 物 物 交 换 时 ， 我 们 很 难说 工具 和 
药品 到 底 哪个 更 值钱 。 现 金 交 易 把 物品 的 价值 标 上 数字 ， 这 就 是 为 什么 我 们 现 
在 将 这 两 种 体系 混合 使 用 ， 即 便 使 用 信用 ， 我 们 依然 用 现金 来 衡量 所 和 需 偿 还 的 
俩 务 金额 - 

这 些 观点 被 应 用 于 许多 场合 ， 特 别 是 用 户 在 进行 虚拟 物品 的 线 上 交易 时 。 
例如 ， 在 进行 点 对 点 (peer-to-peer) 的 文件 分 享 时 ,我 们 就 可 能 过 到 吃 白 食 的 
人 ， 他们 只 下 载 ， 不 分 享 。 进 行文 件 交 易 可 能 是 一 个 可 行 的 解决 方案 ,但 是 如 
何 找到 两 个 相互 需要 对 方 文件 的 人 是 个 协调 上 的 难题 。 在 一 些 项 目 如 莫 优 (Mo- 
jo Nation) 和 学 术 构 想 如 卡 玛 (Karma) 中 ， 用 户 目 动 获得 一 定数 额 的 虚拟 货 
币 。 接 收文 件 时 ， 用 户 可 以 用 虚拟 货币 支付 费用 ; 回 其 他 用 户 发 送 文件 时 ， 赚 
取 虚 拟 赁 币 。 无 论 是 接收 还 是 发 送 文件 ， 一 个 或 者 多 个 服务 需 跟 踪 记 录用 户 的 
账户 余额 ， 而 且 可 以 把 虚拟 货币 兑换 成 真实 货币 。 虽 然 莫 估 项目 在 推出 货币 竞 
换 功 能 之 前 就 消失 了 ， 但 它 算 得 上 是 我 们 现在 使 用 的 比特 流 (BitTorrent， 一 种 
内 容 分 发 协 以 ) 和 塔 和 傈 〈Tahoe-LAFS， 一 种 分 布 式 数据 存储 方式 ) 的 鼻祖 。 


网 络 信用 卡 的 弊端 

许多 电子 文 付 方式 都 可 以 根据 信用 和 现金 这 两 个 基本 概念 进行 分 类 。 比 特 
币 显 然 属 于 现金 类 ， 但 我 们 先 来 谈 谈 信 用 类 。 

信用 卡 交易 是 目前 主要 的 线 上 支付 方式 。 如 果 你 在 亚马逊 这 样 的 网 站 购 过 
物 ， 那 么 你 应 该 很 清楚 流程 。 首 先 ， 输 入 你 的 信用 卡 信息 ,点 击发 送 ， 亚 马 逊 
收 到 这 些 信息 后 反馈 给 “系统 "， 这 一 系统 包括 信息 处 理 器 、 银 行 、 信 用 卡 公司 
及 其 他 中 介 。 





ww aibbt.com [DODODODO FA 


PIN ANIY CRY PSAN UU HRIENC™Y 
,wwww， ”区 块 链 ， 技术 驱动 金融 


然而 ， 如 果 使 用 贝 宝 交 易 ， 那 么 你 体验 的 就 是 中 介 式 结构 风格 。 你 和 卖家 
之 间 存 在 一 个 中 介 公 司 ， 你 把 信用 卡 信息 发 送 给 中 介 人 公司， 中 介 公 司 核准 交易 
并 通知 卖家 ， 并 在 每 个 交易 日 结束 时 与 卖家 统一 结算 。 

这 一 结构 的 优势 是 ， 你 不 需要 提供 给 卖家 你 的 信用 卡 信息 ， 规 避 了 安全 风 
险 。 你 也 无 须 向 卖家 提供 个 人 信息 ， 保 护 了 个 人 隐私 。 劣 势 在 于 ， 它 增加 了 复 
杂 性 ， 你 和 卖家 无 法 进行 直接 交流 ， 都 得 在 中 介 公 司 开设 账户 。 

如 今 ， 我们 已 经 习惯 在 网 络 购物 时 提交 个 人 信用 卡 信 息 ， 至 少 已 经 勉强 地 
接受 了 这 一 点 。 我 们 也 习惯 了 网 络 公 司 搜集 我 们 的 网 络 购物 及 浏览 历史 。 但 在 
20 世纪 90 年 代 ， 网 络 尚 是 新 兴 事 物 ， 数 据 加 密 协议 刚刚 兴起 ， 消 费 者 对 这 些 问 
题 深 感 担忧 ， 对 网 络 购物 的 安全 性 并 不 信任 。 特 别 是 ， 通 过 一 个 不 可 徘 的 渠道 ， 
把 自己 的 信用 卡 信息 提交 给 不 知名 的 网 络 商家 ， 这 在 当时 看 来 ， 几 乎 难以 置信 。 
在 这 种 背景 下 ， 中 介 式 架构 在 当时 引发 了 诸多 兴趣 。 

1994 年 ， 第 一 虚拟 公司 (First Virtue) 成 立 。 它 是 一 家 较 早 成 立 的 中 介 支 
付 公 司 ， 也 是 最 早 设立 完全 虚拟 化 办 公 室 的 公司 之 一 。 顾 名 思 义 ， 它 的 员工 遍 
布 全 国 ， 通 过 互联 网 沟通 ， 

第 一 虚拟 公司 的 文 付 体系 与 由 宝 现在 的 体系 类 似 ， 只 是 早 于 后 者 很 多 年 。 
用 户 注册 ， 提 交 信 用 卡 信 息 。 当 用 户 进 行 网 络 购物 时 ， 商 家 把 详细 的 文 付 信息 
发 送 给 第 一 虚拟 公司 ， 第 一 虚拟 公司 与 用 户 确 认 文 付 信息 ， 确 认 无 误 后 批准 文 
付 。 其 中 有 两 个 细节 值得 注意 : 第 一 ， 所 有 沟通 都 通过 电子 邮件 。 那 时 网 页 浏 
上 喃 大 刚刚 开始 全 面 文 持 HTTPS 等 加 密 协 以 ， 多 方 参与 增加 了 加 密 该 文 付 的 复杂 
性 〈 其 他 中 介 和 采用 把 信息 通信 URL 链接 或 者 在 HTTP 上 定制 加 密 协 议 的 方式 ) 。 
第 二 ， 用 户 有 90 天 的 拒 付 期 ，3 个 月 之 后 卖家 才能 收 到 货款 。 现 在 ， 卖 家 可 以 
立即 收 到 贷款 ， 但 是 消费 者 依然 可 以 索 回 货 球 或 者 对 信用 卡 账单 提出 申诉 。 在 
这 种 情况 下 ， 商 家 必须 把 货款 退还 给 信用 卡 公 司 。 

20 世纪 90 年 代 中 期 ， 出 现 了 一 个 较 有 竞争 力 的 中 介 体 系 ， 我 们 称 之 为 安全 
电子 交易 协议 (Secure Electronic _ Transaction， 简称 SET)。 在 SET 体系 中 ， 用 户 
无 顷 把 信用 卡 信息 提供 给 商家 ， 也 无 须 在 中 介 公 司 注册 账户 。 进 行 网 络 购物 时 ， 
用 尸 的 浏览 各 会 将 交易 和 信用 卡 信息 加 密 存 储 在 电脑 上 的 应 用 程序 里 ， 只 有 中 
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介 能 够 解密 这 些 信 息 ， 甚 至 连 商家 都 不 能 。 这 样 ， 消 费 者 可 以 放心 地 把 加 密 过 
的 信息 发 给 商家 。 商 家 再 把 这 些 加密 信 息 和 它们 自己 的 交易 信息 一 同和 转发 给 中 
介 。 中 介 解 密 你 的 信息 ， 与 商家 的 交易 信息 进行 对 比 ， 只 有 在 双方 信息 一 致 的 
情况 下 ， 中 介 才 会 批准 文 付 。 

SET 由 维 萨 (VISA) 、 万 事 达 以 及 多 家 当时 重量 级 的 科技 公司 开发 而 成 ， 包 
括 网 最 (Netscape) 、IBM 、 微 软 、 威 瑞 信 ( Verisign) 和 RSA (美国 知名 信息 安 
人 全、 加密 数据 公司 ) 。 它 融合 了 多 个 方案 ， 成 为 一 个 标准 性 体系 。 

一 家 叫 网 络 现金 〈CyberCash) 的 公司 采用 了 SET 体系 。 这 家 公司 在 很 多 方 
面 都 很 有 趣 。 它 们 的 产品 除了 处 理 信 用 卡 文 付 交 易 之 外 ， 还 包括 一 种 叫 作 网 络 
币 (CyberCoin) 的 数字 货币 。 这 是 一 种 小 额 文 付 系统 ， 用 于 支付 小 额 消费 行为 ， 
比如 ， 用 户 可 以 用 网 络 币 支付 几 美 分 在 线 阅 读 报纸 的 费用 。 这 也 就 意味 着 ， 用 
户 账户 里 的 网 络 币 余 额 一 般 都 在 10 美元 以 内 。 但 是 ， 有 趣 的 是 ， 它 们 却 能 得 到 
美国 政府 联邦 存款 保险 公司 (FDIC) 对 每 个 账户 高 达 10 万 美元 的 投保 金额 。 

更 有 趣 的 是 ， 网 络 现金 公司 运行 时 ， 美 国政 府 限 制 加 密 技术 的 出 口 ， 因 为 
当时 加 密 技 术 被 认为 是 一 种 武器 。 当 然 ， 现 在 这 种 限制 已 被 废除 。 但 在 当时 ， 
这 也 就 意味 着 国外 用 户 无 权 下 载 包含 加 密 技 术 的 软件 。 但 是 ， 网 络 现金 公司 得 
到 美国 政府 的 特 批 ， 国 外 用 户 可 以 下 载 它 的 软件 。 政 府 给 出 的 解释 是 ， 从 网 络 
现金 公司 的 软件 中 提取 加 密 技术 远 比 从 头 开 发 一 套 全 新 加 密 技 术 要 难得 多 。 

最 后 ， 许 多 人 怀疑 网 络 现金 公司 与 其 他 为 数 不 多 的 几 家 公司 一 起 受到 千 禧 
虫 感染 ( Y2K bug) ， 癌 部 分 客户 重复 收费 。2001 年 ， 网 络 现金 公司 破产 ， 其 知 
识 产 权 被 威 瑞 信 收购 ， 接 着 转卖 给 贝 宝 ， 贝 宝 屹 立 至 今 。 

为 什么 SET 体系 行 之 有 效 ?” 根 本 原因 在 于 它 的 认证 机 制 。 认 证 就 是 把 加 密 
过 的 身份 ， 即 公 钥 (public key) ， 与 现实 身份 连接 起 来 。 网 站 要 从 像 威 瑞 信 这 样 
的 认证 授权 公司 获得 认证 ， 用 户 的 浏览 器 才 会 判定 它 是 安全 的 〈 通 常会 显示 一 
个 锁 形 状 的 图 标 ) 。 网 络 现金 公司 和 SET 体系 认为 ， 安 全 性 比 操作 的 便捷 性 更 重 
有 要， 因此 ， 它 们 不 仅 要 求 服务 商 和 商家 ， 还 要 求 客户 也 必须 获得 认证 。 获 得 认 
证 的 过 程 类 似 于 报税 一 样 烦琐 ， 因 此 ， 这 个 系统 简直 是 场 灾 难 。 几 十 年 来 ， 大 
多 数 用 户 都 拒绝 使 用 要 求 终 端 客 户 认 证 的 系统 ， 这 种 系统 只 会 出 现在 学 术 论 文 
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里 。 比 特 币 巧妙 地 避 开 了 这 一 难题 ， 而 且 无 须 用 户 的 真实 身份 。 比 特 币 系统 通 
过 公 钥 本 身 来 辨别 用 户 身 份 。 我 们 将 在 第 1 草 探 讨 这 个 问题 。 

20 世纪 90 年 代 中 期 ,正当 SET 体系 标准 化 时 ， 万维网 联盟 (World Wide 
Web Consortium) 也 在 探索 如 何 将 金融 支付 方式 标准 化 。 它 们 试图 扩展 HTTP 协 
En 通过 浏览 器 就 可 以 完成 交易 。 事 实 上 ， 它们 
对 如 何 扩 展 HTTP 协议 提出 了 一 个 总 体 方案 ， 也 给 出 了 一 个 用 户 支 付 案 例 。 但 这 
从 未 付 诸 实践 ， 整 个 扩展 框架 i 用 于 浏览 融 中 。 近 20 年 后 ，2015 年 ， 联 盟 
宣布 重新 考虑 扩展 计划 ， 这 次 ， 比 特 币 将 成 为 该 标准 化 进程 的 一 部 分 。 但 是 考 
虑 到 以 往 的 失败 教训 ， 我 对 此 并 不 乐观 。 


从 信用 到 ( 加 密 ) 现金 

现在 该 谈 谈 现金 体系 了 。 如 前 所 述 ， 将 现金 和 信用 进行 比较 ， 我们 发 现 ， 
现金 体系 需要 局 动 目 循环 , 但 优势 在 于 ， 它 规避 了 买 家 拒 不 偿还 债务 的 风险 ， 
此 外 ， 现 金 体系 还 有 男 外 两 个 优势 : 第 一 ， 更 好 地 确保 了 用 户 的 匿名 性 。 信 用 
卡 与 个 人 信息 绑 定 ， 因 此 ， 银 行 可 以 追查 消费 者 的 所 有 消费 记录 。 人 但是， 如果 
使 用 现金 交易 ， 就 与 银行 无 关 ， 卖 家 也 无 须知 道 消 费 者 的 个 人 信息 。 第 二 ， 现 
金 支 持 线 下 交易 ， 无 须 致 电 第 三 方 获得 交易 批准 。 也 许 交 易 完 成 后 需要 把 钱 存 
人 和 银行， 但 这 要 容易 得 多 。 

比特 币 设 有 这 两 个 特点 ， 但 具备 两 个 类 似 的 功能 。 它 的 匿名 性 比 不 上 现金 。 
用 户 在 使 用 比特 币 支 付 时 ， 无 须 使 用 自己 的 真实 身份 但是， 如 果 用 户 不 够 小 
心 席 恒 ， 可 以 信 助 公开 的 交易 账目 和 聪明 的 算法 查 出 用 户 的 交易 记录 并 最 终 查 
出 用 户 身 份 。 我 们 将 在 第 6 章 展 开 这 个 复杂 又 有 趣 的 比特 币 匿 名 性 问题 。 

比特 币 并 不 完全 文 持 线 下 交易 。 但 优点 是 ， 它 不 需要 中 央 处 理 器 ， 而 是 依 
不 点 对 点 网 络 ， 这 种 网 络 跟 互 联网 一 样 具 有 很 强 的 修复 能 力 。 我 们 将 在 第 3 章 
讨论 “绿色 地 址 ”和 小 额 支 付 工 具 ， 它 们 可 以 帮助 我 们 在 特定 条 件 和 特定 情境 
下 进行 线 下 支付 。 

大 卫 : 乔 姆 (David Chaum) 在 1983 年 最 早 提 出 把 加 密 技术 运用 于 现金 上 
的 想法 。 我 们 可 以 拿 现 实 中 的 例子 来 帮助 理解 。 比 如 ， 我 向 人 们 发 放 纸 条 ， 上 
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面 写 着 “ 拿 到 此 条 的 人 可 以 来 我 这 里 领取 1 美元 ” 。 假 设 人 们 信任 我 不 会 食 言 而 
且 我 的 签名 不 可 伪造 ， 他 们 就 可 以 像 银行 汇票 一 样 流通 纸 条 。 事 实 上 ， 银行 让 
票 最 初 就 是 商业 银行 发 放 的 支付 承诺 。 只 是 到 了 了 近代， 政府 才 开 始 介 入 ， 集中 
货币 供给 ， 用 法 律 手段 强制 要 求 银 行 况 现 票据 。 

我 可 以 通过 数字 签名 发 放电 子 纸 条 ,但 那样 的 话 ， 又 会 遇 到 一 个 “双重 文 
付 ”( double spending) 这 一 恼人 的 难题 ， 收 到 表示 一 定金 额 的 虚拟 货币 的 数据 
时 ， 人 们 可 以 复制 该 数据 ， 然 后 传输 给 人 他人。 假设 人 们 的 复制 搁 术 足够 优秀 ， 
我 们 难以 辨别 哪些 是 初始 数据 ， 哪 些 是 复制 品 ， 那 么 ,我 们 能 够 解决 “双重 文 
付 ” 的 问题 吗 ? 

可 能 的 解决 方案 是 : 我 在 发 出 的 每 份 纸 条 上 印 上 一 串 独 特 的 序列 号 。 当 别 
人 把 纸 条 给 你 时 ， 你 检查 一 下 我 的 签名 ， 然 后 打 电 话 给 我 ， 告 诉 我 相应 的 序列 
号 ， 询 问 印 有 这 个 序列 号 的 纸 条 是 否 已 被 使 用 过 。 如 果 我 告诉 你 没有 ， 那 你 就 
可 以 放心 地 收 下 这 个 纸 条 。 我 会 在 账本 上 记录 该 纸 条 已 被 使 用 ,你 要 做 的 是 定 
期 把 收 到 的 纸 条 交 给 我 ， 我 会 再 给 你 相同 数量 的 印 有 新 序列 号 的 纸 条 。 

这 个 方法 是 可 行 的 。 它 在 现实 中 施行 起 来 颇 为 烦琐 ， 但 在 网 络 上 却 比较 简 
单 明 了 ， 只 要 我 设置 一 台 服 务 带 ， 用 它 来 完成 签名 和 序列 号 的 记录 工作 。 唯 一 
的 问题 在 于 ， 因 为 难以 匿名 ， 它 很 难 称 得 上 是 真正 的 现金 。 不 管 是 发 行 还 是 竞 
现 纸 条 ， 我 都 可 以 把 序列 号 和 个 人 信息 一 同 记录 在 案 。 这 也 就 意味 着 ,我 能 够 
追踪 你 的 所 有 消费 行为 。 

齐 姆 提供 了 一 个 创造 性 解决 方案 。 它 不 仅 能 够 保护 用 户 的 匿名 性 ， 同 时 还 
杜绝 了 “双重 支付 ”。 它 的 方法 是 : 我 给 你 一 张 纸 条 ， 你 把 它 的 序列 号 记录 下 
来 ， 并 且 不 要 让 我 看 见 。 然 后 我 再 签名 ， 并 不 需要 知道 它 的 序列 号 。 这 在 密码 
学 里 被 称 为 “ 育 答 ”(blind signature) 。 选 取 一 个 较 长 、 随 机 的 序列 号 能 够 更 好 
地 保护 你 的 利益 ， 因 为 这 样 的 序列 号 更 有 可 能 是 独一无二 的 。 我 不 必 担 心 你 选 
取 一 个 使 用 过 的 序列 号 ， 因 为 这 样 你 只 会 得 到 一 个 无 效 货币 而 遭受 损失 。 

这 是 第 一 个 真正 意义 上 的 电子 货币 方案 。 它 虽然 有 效 ， 但 必须 要 有 一 个 大 
家 信任 的 中 心机 构 管 理 运行 的 服务 右 。 不 仅 如 此 ， 这 个 服务 器 还 必须 参与 每 笔 
交易 。 如 有 果 服 务 套 停止 工作 ， 交 易 就 不 得 不 暂停 。 数 年 之 后 的 1988 年 ， 乔 姆 与 
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两 位 密码 学 专家 阿 莫 斯 * 菲亚特 (Amos Fiat) 和 摩 尼 ' 纳 欧 尔 ( Moni Naor) 合 
作 ， 提 出 线 下 电子 货币 的 概念 。 乍 看 上 去 这 似乎 是 不 可 行 的 : 如 果 用 户 把 同一 
个 电子 货币 支付 给 两 家 没有 连 入 同一 个 网 络 或 与 同一 家 中 心机 构 合 作 的 不 同 商 
家 ， 它 们 怎么 能 够 发 现 并 阻止 这 种 行为 呢 ? 

与 其 去 预防 双重 支付 ， 不 如 关注 事后 当 商 家 重新 连 上 银行 服务 大 的 时 候 如 
何 察觉 。 这 才 是 比较 聪明 的 做 法 。 乘坐 没 有 网 络 连接 的 飞机 时 ， 如 果 你 用 信用 
卡 消费 ， 真 正 的 转账 是 在 航空 公司 重新 连 上 网 络 之 后 才 发 生 的 。 如 果 你 的 信用 
卡 被 拒 付 ， 你 会 从 航空 公司 〈 或 你 的 银行 ) 一 笔 钱 。 仔 细 想 想 ， 传 统 金融 体系 
的 很 大 一 部 分 就 建立 在 如 何 检测 错误 和 损失 这 一 基础 之 上 ， 然 后 才 是 收回 损失 
或 惩罚 失误 方 。 如 果 你 给 某 人 开 一 张 个 人 支票 ， 他 不 会 知道 这 笔 钱 是 否 真 实 存 
在 于 你 的 账户 里 , 但 当 他 去 银行 兑现 时 被 银行 拒绝 ， 他 会 追究 你 的 责任 。 类 似 
地 ， 如 果 线 下 电子 货币 系统 被 广泛 应 用 ， 国 家 应 该 制定 相关 法 律 ， 规 定 双 重文 
什 属于 犯罪 行为 。 

为 了 检测 出 双重 支付 ， 乔 姆 、 非 亚 特 和 纳 欧 尔 三 人 提出 了 一 种 复杂 的 加 密 
机 制 。 简 而 言 之 ， 这 套 机 制 可 以 达到 以 下 目的 : 发 行 方 在 电子 货币 中 以 加 密 方 
式 舱 入 你 的 个 人 信息 ， 除 了 你 本 人 ， 包 括 银 行 在 内 的 任何 人 都 无 法 解密 。 你 用 
电子 货币 消费 时 ， 接 收 方 会 随机 挑选 一 部 分 密码 要 求 你 解密 ， 并 将 之 记录 下 来 。 
这 种 解密 的 内 容 不 足以 暴露 你 的 身份 。 如 果 你 用 同一 份 电子 货币 双重 支付 ， 当 
两 个 接收 方 都 去 银行 够 现时， 银行 可 以 把 两 份 解密 的 信息 合 在 一 起 ， 最 终 几 乎 
可 以 肯定 知道 你 的 身份 。 

你 可 能 会 担心 ， 万 一 有 人 陷害 我 双重 文 付 呢 ? 比如 ， 你 文 付 给 我 一 份 电子 
货币 ， 我 不 去 银行 兑现 成 有 我 身份 加 密 的 新 数字 货币 ， 而 是 直接 拿 着 你 给 的 货 
币 进行 重复 消费 。 不 必 担 心 ， 这 是 行 不 通 的 ， 因 为 我 在 用 它 支付 时 ， 接 收 方 会 
要 求 我 解密 一 段 密 码 ， 这 段 密码 与 之 前 你 解密 的 那 段 密码 肯定 是 不 一 样 的 ， 因 
此 ， 我 无 法 完成 这 一 解密 任务 。 

多 年 以 来 ,许多 密码 学 家 一 直 在 研究 并 完善 这 一 机 制 。 在 乔 姆 、 菲 亚 特 和 
纳 欧 尔 提 出 的 构想 中 ,假设 一 枚 电子 货币 价值 100 美元 ， 如 果 你 想 买 一 个 价格 
为 75 美元 的 物品 ， 你 没 法 把 这 枚 货币 分 割 成 75 美元 和 25 美元 。 你 只 能 去 银行 ， 
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把 价值 100 美元 的 货币 兑换 成 现金 ， 再 拿 现 金 换 取 价值 75 美元 和 25 美元 的 抽 
币 。 但 是 ， 在 一 篇 论文 里 ，Tatsuaki Okamoto 和 KazuoOhta 用 梅 克 尔 树 ( Merkle 
trees) 建立 了 一 个 可 以 分 割 电子 货币 的 系统 。 梅 克 尔 树 在 比特 币 里 还 会 出 现 ， 
我 们 将 在 第 1 章 遇 到 它 。 这 个 机 制 的 效率 还 有 很 大 的 提高 空间 。 特 别 是 ， 这 一 
机 制 采 用 了 由 史蒂芬 : 布 兰 德 斯 (Stefan Brands) 在 20 世纪 90 年 代 , 往 … 卡 姆 
实 (Jan Camenisch) 、 苏 珊 . 洪 博 格 ( Susan Hohenberger)、 安 娜 . 者 斯 卡 亚 
( Anna Lysyanskaya) 在 2005 提出 的 “ 零 知 识 验证 ” (zero-knowledge proofs ) ， 市 
来 了 很 好 的 效果 。 在 第 6 章 ， 我 们 将 看 到 ， 零 知识 验证 也 同样 被 运用 于 比特 币 
体系 中 。 

继续 回 到 乔 姆 。 为 把 自己 的 想法 商业 化 ， 他 于 1989 年 创立 数字 现金 公司 
(DigiCash) ， 应 该 是 第 一 家 致力 于 解决 线 上 支付 问题 的 公司 。 数 字 现 金 公 司 比 我 
们 之 前 提 过 的 第 一 虚拟 公司 和 网 络 现 金 公 司 早 了 整整 5 年 。 数 字 现 金 系统 使 用 
的 现金 叫 电子 现金 ， 男 外 ， 它 们 还 有 一 个 名 为 “网 络 资金 ” (cyberbucks) 的 系 
统 。 包 括 美国 的 几 家 银行 和 芬兰 至 少 一 家 银行 在 内 的 数 家 银行 ， 确 实 使 用 了 这 
个 系统 。 这 可 是 远 在 比特 币 出 现 之 前 的 20 世纪 90 年 代 ， 可 能 会 让 一 些 比特 币 
推崇 者 大 吃 一 惊 ， 因 为 他 们 认为 银行 是 惧怕 科技 、 抵 制 创新 的 庞然大物 。 

当 你 需要 交易 时 ， 你 点 击 一 条 由 资金 接收 方 发 回 的 链接 ， 跳 转 至 数字 现金 
网 页 ， 同 时 ， 会 开通 一 条 反 回 链接 连 回 你 的 电脑 。 也 就 是 说 ， 你 的 电脑 必须 能 
够 接收 外 部 链接 ， 就 像 一 台 服 务 器 。 你 需要 拥有 自己 的 下 地址， 你 的 网 络 服务 
提供 商 也 必须 允许 外 部 连接 。 如 果 连 接 成 功 ， 电 子 现金 软件 会 在 你 的 电脑 上 运 
用 ， 然 后 你 再 批准 交易 ， 进 行 付款 。 

乔 姆 的 数字 现金 技术 获得 了 几 项 专利 ， 特 别 是 它 使 用 的 育 签 技术 。 外 界 对 
他 的 行为 是 有 和 争议 的 ， 因 为 专利 妨碍 了 其 他 人 用 该 技术 进一步 开发 电子 现金 系 
统 。 但 是 几 位 经 常 在 一 个 叫 “ 网 络 朋克 ”(cyberpunks) 的 邮件 组 里 互动 的 密码 
学 专家 则 另辟蹊径 。 著 名 的 中 本 聪 (Satoshi Nakamoto) 第 一 次 向 全 世界 宣布 比 
特 币 系统 就 是 在 一 个 邮件 组 里 ， 它 的 前 身 就 是 网 络 有 朋克， 这 绝 非 巧合 。 我 们 将 
在 第 7 曹 探讨 网 络 朋克 运动 及 比特 币 的 起 源 。 

网 络 朋 克 的 几 位 密码 学 家 开发 出 了 一 种 名 叫 魔法 货币 (Magic Money) 的 类 
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似 于 电子 现金 的 产品 。 魔 法 货币 虽然 侵犯 了 电子 现金 的 专利 ， 但 因为 他 们 宣称 
它 只 用 于 实验 目的 ， 因 此 并 未 被 禁止 。 魔 法 货币 是 一 个 很 有 趣 的 软件 。 它 采用 
纯 文 本 界面 ， 你 可 以 通过 电子 邮件 发 送 交 易 信 息 ， 只 需要 把 交易 信息 复制 粘贴 
到 电子 邮件 并 发 送 给 其 他 用 户 就 可 以 了 。 当 然 ， 你 需要 使 用 PGP (Pretty Cood 
Privacy ， 一 种 加 密 软 件 ) 等 终端 对 终端 的 电子 邮件 加 密 软 件 ， 以 确保 信息 在 传 
输 过 程 中 的 安全 。 

随后 ， 本 : 劳 里 (Ben Laurie) 在 其 他 人 的 帮助 下 创立 Lucre 系统 。 该 系统 
坛 图 用 一 种 非 专利 技术 替代 电子 现金 中 的 育 签 ， 其 他 则 与 电子 现金 系统 大 致 
类 似 。 

另外 一 个 由 伊 恩 . 艾 德 堡 (Jan Coldberg) 提出 的 方案 则 试图 解决 无 法 分 割 
电子 货币 换取 零钱 的 问题 ， 他 的 思路 是 : 当 你 没有 和 雪 钱 而 癌 商 家 文 付 了 过 多 人 金 
额 时 ， 如 果 商 家 有 货币 ， 它 会 转 回 给 你 超额 支付 的 部 分 。 但 是 应 该 注意 到 ， 这 
一 想法 带 来 匿名 性 问题 。 如 前 所 述 ， 在 电子 现金 系统 里 ， 付 蒜 人 匿名 而 商家 不 
晓 名 。 但 是 当 商 家 找 零 时 ， 商 家 实际 上 成 了 付 蒜 人 ， 因 此 他 们 是 匿名 的 。 从 你 
收 到 商家 的 找 堆 之后， 你 需要 去 银行 吕 现 ， 这 时 ， 你 又 是 不 匿名 的 。 这 一 系统 
无 法 确保 用 户 的 匿名 性 ， 因 此 ， 伊 恩 ' 茂德 堡 又 重新 设立 了 一 个 系统 ， 在 这 个 
系统 中 有 不 同类 型 的 货币 ， 能 够 确保 用 户 在 匿名 的 情况 下 既 能 消费 又 能 收 到 

为 什么 数字 现金 最 终 失 败 了 呢 ? 主要 原因 在 于 它 没 能 说 服 银行 和 商家 使 用 
它 。 因 为 使 用 这 一 系统 的 商家 不 多 ， 用 户 也 就 不 愿意 用 它 。 更 粳 的 是 ， 它 并 不 
或 没有 文 持 好 用 户 和 用 户 之 间 的 交易 ， 只 侧重 于 用 户 和 商家 之 间 的 交易 。 因 此 ， 
商家 不 接受 它 ， 这 个 系统 就 很 难 激发 其 他 人 的 兴趣 。 最 终 ， 数 字 现 金 败 给 了 信 
用 卡 公 司 。 

妨 外 ， 比 特 币 既 文 持 用 户 和 商家 之 间 的 交易 ， 也 文 持 用 户 和 用 户 之 间 的 交 
吻 。 事 实 上 ， 比 特 币 体系 并 不 把 用 户 和 商家 区 别 开 来 。 比 特 币 的 成 功 很 大 部 分 
大 概要 归功 于 它 对 用 户 - 用户 间 交易 的 文 持 。 从 一 开始 ， 每 位 比特 币 用 户 都 可 
以 发 给 其 他 用 户 ， 因 而 整个 比特 币 社区 都 努力 争取 人 们 对 比特 币 的 支持 ， 并 促 
使 商家 也 接受 它 。 
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数字 现金 公司 的 最 后 几 年 ， 它 试图 通过 防 侵入 硬件 来 预防 双重 文 付 ， 不 再 
把 重心 放 在 双重 支付 发 生 后 的 检测 上 。 在 这 套 系统 里 ， 有 一 种 叫 作 钱包 或 者 类 
似 于 卡片 的 设备 。 这 个 设备 会 记录 你 的 账户 余额 。 消 费 之 后 ,余额 减 少 ; 充值 
之 后 ,余额 增加 。 这 个 设备 的 用 处 是 ,没有 人 能 够 更 改 计 数 送 数额 ， 不 管 是 通 
过 物理 手段 还 是 电子 技术 。 因 此 ， 当 计数 需 归 零 时 ， 倘 大 没 有 继续 充值 ， 用 户 
部 无 法 消费 。 

许多 公司 推出 过 带 有 防 侵 入 硬件 的 电子 现金 系统 。 数 字 现 金 后 来 与 一 家 叫 
CAFE 的 欧洲 公司 合作 。 另 一 家 叫 Mondex 的 电子 钱包 公司 也 是 基于 这 个 想法 
创立 的 ， 后 来 被 万 事 达 收购 。 维 萨 〈Visa) 也 有 类 似 的 系统 ， 名 为 维 院 货币 
( VisaCash ) - 

在 使 用 电子 钱包 时 ， 使 用 者 既 持 有 一 张 智 能 卡片 ， 又 拥有 一 个 “ 旋 卡 需 ” 
(wallet unit) ， 两 者 均 可 进行 充值 。 使 用 者 之 间 直 接 可 以 互相 进行 文 付 。 支 付 方 
将 智能 卡 插入 读 卡 带 中 ， 钱 即 转 入 读 卡 副 。 接 受 方 将 卡 插入 读 卡 强 ， 钱 就 转 入 
第 二 次 插入 的 卡 里 。 这 一 过 程 交 换 的 是 数字 货币 ， 是 匿名 的 交换 流程 。 

Mondex 公司 在 几 个 地 方 推广 其 技术 ， 其 中 一 个 城市 正好 离 我 的 家 乡 安 大 略 
省 在 尔 夫 市 不 远 。 你 大 概 已 经 猜 到 ， 这 项 技术 并 没有 被 广泛 使 用 。 主 要 原因 是 ， 
电子 Mondex 卡片 跟 现 金 类 似 ， 一旦 丢失 或 者 被 偷 ， 钱 也 就 和 于 了 。 更 有 甚 者 ， 如 
果 卡 片 发 生 故 障 ， 或 者 读 卡 需 无 法 谈 卡 ， 就 没 法 知道 卡 里 余额 是 多 少 。 这 种 事 
情 真 正 发 生 时 ，Mondex 公司 一 般 会 目 担 损失 。 它们 会 假定 卡 里 有 余额 并 赔偿 用 
户 损 失 ， 这 目 然 是 一 笔 不 小 的 开 文 。 

此 外 ， 这 个 系统 里 的 钱包 反应 比较 慢 。 用 信用 卡 或 现金 支付 要 快 得 多 。 商 
家 都 不 吾 欢 拥有 太 多 文 付 终端 ， 对 它们 来 说 ， 一 个 信用 卡 POS 机 就 够 了 。 和 多 重 
原因 加 在 一 起 导致 了 Mondex 公司 的 失败 。 

尽管 如 此 ，Mondex 公司 的 用 户 卡 是 有 小 心 片 的 智能 卡片 ， 这 项 技术 事实 证 
明 是 相当 成 功 的 。 如 今 ， 在 很 多 国家 ， 包 括 我 所 在 的 加 拿 大 ， 每 张 信 用 卡 和 借 





四 Mondex 是 一 种 灵活 的 电子 现金 ， 是 当今 世界 上 几 种 主流 的 开放 式 通 用 电子 钱包 标准 ， 最 初 是 英国 
西 敏 寺 银 行 开发 的 电子 钱包 ， 是 世界 上 最 早 的 电子 钱包 系统 泽 者 注 
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记 卡 都 采用 了 智能 卡片 技术 。 它 们 的 目的 不 是 防止 双重 支付 。 非 现金 技术 中 不 
会 存在 双重 支付 的 问题 ， 因 为 银行 而 不 是 卡片 记录 你 的 账户 余额 和 可 用 信用 。 
智能 卡片 的 目的 是 用 于 认证 ， 也 就 是 说 ， 它 为 了 证 明 你 知道 自己 账户 的 PIN 。 虽 
然 用 途 不 同 ， 早 在 银行 广泛 采用 该 技术 之 前 ,，Mondex 公司 就 已 经 开始 运用 这 项 
技术 。 


凭空 友 行 货币 

如 果 你 有 一 个 价值 100 美元 的 电子 现金 ， 那 怎么 能 够 保证 它 的 确 价值 100 
美元 呢 ? 数字 现金 给 出 的 答案 很 简单 : 要 想 获得 一 个 价值 100 美元 的 电子 现金 ， 
你 必须 从 你 的 银行 账户 取现 100 美元 ， 交 给 发 行 电子 现金 的 银行 。 但 要 实现 这 
个 目的 可 以 通过 不 同 的 方式 ， 不 同 的 公司 采取 的 方法 也 各 不 相同 。 设 想 一 个 小 
概率 事件 : 如 果 一 个 政府 授权 某 家 银行 发 行 电子 货币 ， 和 凭空 创造 新 电子 现金 ， 
会 怎么 样 呢 ? 网 格 现金 〈NetCash) 就 是 基于 这 一 假设 创立 的 , 但 是 它 并 未 真正 
实施 过 。 电 子 黄金 (E-Gold) 则 采用 一 套 完全 不 同 的 体系 ， 它 在 保险 库 中 存 入 
一 定量 的 黄金 ， 根 据 黄金 价格 发 行 电子 货币 。 一 家 名 为 数字 黄金 (Digigold) 的 
公司 并 不 完全 依赖 黄金 ， 但 也 有 部 分 黄金 储备 。 

归根 结 底 ， 这 些 方 式 都 是 使 电子 货币 的 价值 随 美元 或 条 种 特定 商品 的 价值 
而 浮动 。 如 果 美 元 价值 上 升 或 下 降 ， 你 的 电子 货币 价值 就 相应 地 上 升 或 下 降 。 
男 一 种 比较 激进 的 方案 ,就 是 使 电子 贷 币 自 成 体系 ， 其 他 贷 币 不 会 影响 其 发 行 
和 价值 。 

要 想 创造 一 种 月 由 浮动 并 且 具 有 真实 价值 的 虚拟 货币 ， 必 须要 设计 出 某 种 
具有 黎 缺 性 的 东西 。 其 实 ， 正 是 因为 黄金 和 和 销 石 的 稀缺 性 ， 它 们 才 会 成 为 货 
的 储备 。 在 虚拟 世界 ， 你 可 以 这 样 设 计 你 的 系统 ， 即 虚拟 货币 只 有 在 需要 花 一 
段 时 间 解 决 了 一 定 的 数学 计算 (或 “ 谜 题 ") 之 后 方 可 生成 ， 这 样 就 保证 了 稀 
喘 性 。 比 特 币 体系 中 的 “ 挖 矿 ” 就 是 这 样 的 ， 我们 会 在 第 5 章 详 细 探讨 。 

通过 解决 数学 计算 来 赋予 虚拟 货币 价值 ， 这 一 想法 并 不 新 鲜 。 早 在 1992 
年 ， 密 人 码 学 家 辛 提 亚 : 沃克 (Cynthia Dwork) 和 摩 尼 . 纳 欧 尔 (Moni Naor) 首 
次 提出 这 种 方案 ， 用 来 降低 垃圾 邮件 问题 。 设 想 你 每 次 发 送 邮 件 时 ， 计算机 都 
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不 得 不 花 几 秒 钟 的 时 间 解 决 一 道 数学 计算 题目 。 如 果 你 没 能 附 上 题目 的 答案 ， 
收 件 人 的 邮箱 会 自动 忽略 你 发 来 的 邮件 。 对 于 普通 用 户 ， 因 为 他 们 发 送 邮件 的 
频率 不 高 ， 不 会 带 来 太 大 麻烦 。 但 对 于 想 同 时 发 送 成 干 上 万 垃圾 邮件 的 人 来 说 ， 
解决 大 量 的 数学 计算 几乎 是 不 可 能 的 。1997 年 ,亚当 ' 贝克 (Adam Back) 在 
一 个 名 为 哈 希 现金 (Hashcash) 的 体系 中 采用 过 类 似 设 计 。 

要 想 阻 止 垃圾 邮件 ， 这 些 数 学 计算 必须 具备 一 定 的 特性 。 第 一 ， 垃 圾 邮件 
发 送 者 解 出 一 道 题目 之 后 ， 不 能 把 这 个 答案 附 在 他 发 送 的 其 他 邮件 上 。 为 了 做 
到 这 一 点 ， 每 封 邮 件 会 对 应 一 个 数学 计算 题目 ,题目 内 容 取 决 于 发 件 人 、 收 件 
人 人、 邮件 内 容 和 发 送 时 间 。 第 二 ， 收 件 人 无 须 重 复 解 题 的 烦琐 过 程 ， 就 可 以 轻 
松 地 检查 发 件 人 附 上 的 答案 。 第 三 ， 题 目 之 间 应 是 相互 独立 的 ， 也 就 是 说 ， 解 
决 一 道 题目 不 会 减少 解决 其 他 题目 所 需 的 时 间 。 第 四 ， 随 着 便 件 性 能 的 提升 ， 
解决 数学 计算 变 得 越 来 越 快 、 越 来 越 容 易 ， 收 件 人 必须 要 调整 他 们 收 到 的 答案 
的 难度 。 通 过 密码 学 中 的 哈 硕 方 程 (hash functions) 设计 的 题目 可 以 满足 以 上 
要 求 ， 我 们 将 在 第 1 章 学 习 它 。 

比特 币 使 用 的 数学 计算 与 哈 布 现金 的 基本 类 似 ， 只 是 进行 了 微小 的 改进 。 
比特 币 能 做 的 比 哈 硕 现金 多 得 多 ， 毕 竟 ， 要 解释 比特 币 需要 一 整 本 书 呢 ! 我 之 
所 以 提 这 些 ， 是 因为 哈 希 现金 的 创始 人 亚当 :贝克 曾经 说 过 : “比特 币 只 是 把 哈 
希 现 金 进行 通 代 脱 胀 控制 得 到 的 延伸 产品 罢了 。” 我 觉得 这 话 有 点 过 分 了， 就 像 
说 :“ 特 斯 拉 只 是 在 轮子 上 加 上 电池 而 已 。” 

正如 密码 学 里 任何 一 个 优秀 的 想法 一 样 ， 数 学 计算 题目 有 许多 变 体 ， 每 个 
变 体 具有 些微 不 同 的 特性 。 其 中 一 个 构想 来 自 维 莱特 (Rivest) 和 夏 马 尔 
(Shamir) ， 他 们 提出 了 RSA 加 密 系 统 (RSA 中 的 R 和 S 分别 为 Rivest 和 Shamir 
的 首 字 母 ) 。 研 究 哈 而 现金 之 后 我 们 发 现 ， 解 决 一 系 列 数学 计算 题目 的 成 本 就 是 
解决 单个 题目 的 简单 三 加 。 但 政府 发 行货 币 时 ， 成 本 可 不 是 这 么 计算 的 。 单 是 
纸币 上 的 防伪 技术 ， 政 府 就 需要 投入 巨大 的 初始 成 本 来 购买 设备 ， 施 加 安全 措 
施 等 。 但 是 一 旦 人 研发 出 了 防伪 技术 之 后 ,成 本 就 会 降低 ， 印 一 张 货币 和 印 一 百 
张 的 成 本 差别 并 不 大 。 换 言 之 ， 发 行 纸币 的 固定 成 本 很 高 ， 但 浮动 成 本 很 低 。 
维 莱 特 和 夏 马 尔 想 要 设计 的 数学 计算 题目 具有 类 似 的 成 本 结构 ， 这 样 ， 发 行 第 
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一 个 电子 货币 需要 巨大 的 计算 量 ， 但 接 下 来 就 会 变 得 很 简单 。 他 们 的 设计 也 运 
用 了 哈 希 方程 ， 但 使 用 方式 不 同 。 我 们 不 打算 讨论 他 们 的 详细 方案 ， 但 他 们 要 
解决 的 问题 是 非常 有 趣 的 ， 

人 们 为 什么 没有 广泛 使 用 哈 希 现金 来 阻止 垃圾 邮件 呢 ?” 也 许 是 因为 垃圾 邮 
件 问题 还 没有 足够 严峻 。 对 大 多 数 人 来 说 ,垃圾 邮件 只 是 个 恼人 的 小 问题 ， 并 
没有 严重 到 他 们 愿意 用 计算 机 算 力 来 解决 它 。 现 在 ， 我 们 有 了 垃圾 邮件 过 滤 和 需 ， 
能 够 有 效 地 阻挡 垃圾 邮件 。 另 外 一 个 可 能 的 原因 是 ， 哈 布 现 金 无 法 只 正 阻 止 垃 
圾 邮件 。 特 别 是 ， 现 在 大 多 数 垃圾 邮件 发 送 人 通过 僵尸 网 络 , 用 病毒 大 量 和 人 侵 
他 人 电脑 ， 批 量 发 送 垃圾 邮件 。 他 们 也 可 以 通过 这 些 电脑 来 获取 哈 布 现 金 。 所 
以 ， 通 过 数学 计算 进行 限制 的 想法 还 在 不 断 发 展 中 。 在 一 些 蔡 代 网 络 协议 的 构 
想 中 ， 如 小 型 LT 协议 (MinimalLT) ， 我 们 还 可 以 看 到 这 一 思路 。 


把 一 切 信息 都 记录 在 数据 库 账 本 中 

区 块 链 是 比特 币 的 另 一 项 关键 技术 ， 它 像 一 个 数据 库 账本 ， 安 全 记录 所 有 
的 比特 币 交 易 信息 。 区 块 链 的 理论 基础 由 来 已 入， 可 以 追溯 到 哈 勃 〈Haber) 和 
斯 托 尔 内 塔 (Stornetta) 在 1991 年 开始 发 表 的 一 系列 论文 。 他 们 提出 的 不 是 虚 
拟 货 币 体系 ， 而 是 一 种 可 以 安全 地 对 数字 文件 进行 时 间 惟 记录 的 方法 。 时 间 截 
是 为 了 记录 文件 创建 的 大 概 时 间 。 更 重要 的 是 ， 时 间 惟 可 以 准确 反映 文件 创建 
的 先后 顺序 : 如 果 一 份 文件 比 男 一 份 文件 更 早 创 建 ， 可 以 从 时 间 惟 中 看 出 来 。 
时 间 戳 的 安全 性 体现 在 文件 的 时 间 戳 一 旦 生成 ， 无 法 更 改 。 

用 户 发 送 文件 时 ， 哈 式 和 斯 托 尔 内 境 设 计 的 体系 能 够 加 客户 提供 时 间 戳 
服务 。 服 务 器 收 到 文件 时 ， 它 会 用 当时 时 间 和 指向 之 前 文章 的 链接 或 者 指针 
作为 签名 ， 来 签名 该 文件 并 产生 包含 签名 信息 的 认证 ， 见 图 0.1。 这 里 所 说 的 
指针 ， 指 向 的 不 是 一 个 具体 地 址 ， 而 是 一 串 数据 。 也 就 是 说 ， 如 果 该 数据 被 
更 改 了 ， 那 么 这 个 指针 也 就 自动 失效 。 在 第 1 章 ， 我 们 将 学 习 如 何 使 用 哈 希 
方程 来 创建 这 种 指针 。 

这 种 协议 实现 的 效果 是 : 每 份 文件 的 认证 都 确保 了 上 一 份 文 件 内 容 的 完整 
性 。 其 实 ， 反 复 运 用 这 一 理论 : 每 次 认证 基本 上 都 保障 了 这 个 认证 点 之 前 的 所 
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图 0.1 链接 的 时 间 戳 
注 : 要 想 对 一 份 文件 进行 认证 ， 时 间 惟 服务 顺 必 须 包 括 指向 之 前 文件 认证 的 哈 硕 指 针 ， 当 前 时 间 
和 文件 内 容 本 向， 并 用 这 三 条 信息 来 对 文件 进行 签名 。 

有 文件 和 认证 的 完整 性 。 假 设 这 个 系统 中 的 每 个 用 户 都 能 记录 包括 上 自己 的 文件 、 
之 前 和 之 后 的 文件 的 认证 在 内 的 几 个 认证 信息 ， 那 么 合 起 来 ， 就 可 以 确保 整个 
文件 系统 不 会 被 更 改 。 特 别 是 ， 文 件 的 先后 顺序 被 保存 了 下 来 。 

随后 的 一 篇 论文 提出 了 一 个 可 以 提升 效率 的 方案 : 不 必 单 独 链接 各 个 文件 ， 
而 是 把 它们 集合 成 块 ， 然 后 在 一 条 链 中 链接 整个 块 。 在 每 个 块 里 ， 文 件 通过 树 
状 结构 而 非 线 性 结构 的 方式 相互 链接 。 这 一 方法 减少 了 在 整个 系统 中 查找 特定 
文件 所 需 的 工作 量 。 图 0.2 展示 了 这 一 混合 而 成 的 体系 的 工作 方法 。 


图 0.2 高 效 的 链接 时 间 戳 


注 : 箭头 表示 哈 希 指针 ， 点 状 垂直 线 表示 时 间 间 隔 。 


这 一 数据 结构 形成 了 比特 币 区 块 链 的 框架 ,我 们 在 第 3 章 可 以 看 到 这 一 点 。 
比特 币 将 它 进 行 了 微妙 但 至 关 重 要 的 改进 ， 它 用 一 种 类 似 于 哈 希 现金 的 协议 来 
降低 在 区 块 链 里 增添 块 的 速度 。 这 种 改进 对 比特 币 的 安全 性 带 来 了 深远 而 有 益 
的 影响 。 比 特 币 体系 通过 一 群 未 被 认证 过 的 节点 ， 即 “矿工 ”， 来 记录 事件 ， 不 
冉 需 要 认证 过 的 服务 占 。 通 过 每 个 矿工 而 不 是 普通 用 户 记 录 块 的 信息 。 任 何人 
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都 可 以 通过 解决 数学 计算 ， 新 建 块 ， 而 成 为 一 名 矿工 。 比 特 币 还 舍弃 了 签名 ， 
只 依靠 哈 希 指针 来 确保 数据 结构 的 完整 性 。 最 后 ， 真 正 的 时 间 戳 对 比特 币 来 说 
不 是 很 重要 ， 整 个 系统 的 意义 在 于 根据 先后 顺序 记录 交易 信息 ， 并 确保 它 不 能 
被 算 改 。 事 实 上 ， 比 特 币 块 并 不 按 固定 时 间 表 产生 。 在 比特 币 系 统 里 ,平均 每 
10 分 钟 产生 一 个 新 的 块 ， 单 相 邻 的 两 个 块 的 时 间 间 隅 会 有 较 大 的 差别 。 

比特 币 从 根本 上 融合 了 用 数学 计算 来 控制 新 币 的 产生 和 用 安全 的 时 间 补 来 
记录 交易 信息 并 防止 双重 支付 这 两 种 思路 。 在 比特 币 之 前 ， 有 人 和 兽 提 出 过 ， 不 
这 么 成 熟 但 也 融合 了 这 两 种 思路 的 方案 。 比 如 ， 戴 伟 《〈《Wei Dai) 在 1998 年 所 
出 的 B 币 (b-money)， 任何 人 都 可 以 通过 一 个 类 似 于 哈 希 现金 的 系统 创造 虚拟 
货币 。 它 跟 比 特 币 类 似 ， 也 有 一 个 点 对 点 网 络 。 每 个 节点 维护 一 个 数据 库 账 本 ， 
但 它 不 同 于 比特 币 的 区 块 链 ， 并 不 记录 全 部 交易 信息 。 每 一 个 节点 都 有 它 自 认 
为 是 准确 的 记录 每 个 人 账户 余额 的 账本 。 

尼克 ' 萨博 (Nick Szabo) 还 提出 一 个 类 似 的 方案 ， 名 为 比特 黄金 〈Bitg- 
old) 。 萨 博 宣称 他 早 在 1998 年 就 有 了 创建 比特 黄金 的 想法 ， 但 直到 2005 年 才 在 
博客 上 公开 发 布 。 我 之 所 以 提 这 件 事 ， 是 因为 《纽约 时 报 》 记 者 纳 院 尼 尔 、 波 
普 (Nathaniel Popper) 曾 写 过 一 本 关于 比特 币 历 史 的 不 错 的 书 ， 他 发 现 ， 公 开 
发 布 比特 黄金 的 那 篇 博文 的 发 表 时 间 被 修改 过 ， 改 成 了 中 本 聪 正式 发 布 比特 币 
之 后 的 两 个 月 。 他 跟 许多 观察 者 一 样 ， 认 为 院 博 就 是 中 本 聪 ， 即 使 院 博 否认 。 
他 认为 ， 了 萨博 修改 博文 发 表 时 间 就 是 证 据 ， 这 样 ， 后 者 就 可 以 掩盖 自己 在 比特 
币 发 布 之 前 就 已 经 发 明了 比特 黄金 这 一 事实 。 

但 这 一 证 据 并 不 可 信 。 仔 细 阅 读 博 文 ， 你 就 会 发 现 ， 玄 博 明确 表示 自己 在 
1998 年 就 有 了 比特 黄金 的 想法 。 他 没有 试图 更 改 这 些 时 间 。 更 为 合理 的 解释 是 ， 
比特 币 开 始 流行 后 ， 他 把 那 篇 博文 置顶 ， 这 样 ， 人 们 就 可 以 看 到 他 在 比特 币 之 
前 就 有 了 类 似 的 构想 。 

比特 币 与 B 币 和 比特 黄金 有 很 多 重要 的 不 同 之 处 。B 币 和 比特 黄金 通过 数 
尝 计 算 特 接 创 造 货 币 。 任 何人 都 可 以 解 题 ， 答 案 本 身 就 是 货币 。 但 在 比特 币 体 
系 中 ， 解 决 数学 计算 并 不 构成 货币 ,只 是 确保 区 块 链 安全 ， 间 接地 在 有 限时 间 
里 创造 新 货币 。 此 外 ，B 币 和 比特 黄金 靠 时 间 戳 给 货币 的 创造 和 转账 签名 。 但 
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比特 币 不 需要 被 认证 过 的 时 间 惟 ， 它 只 是 用 时 间 戳 来 保存 区 块 和 交易 的 宛 后 
顺 订 。 

最 后 ， 如 果 服 务 器 和 节点 对 数据 库 账本 的 记录 不 待 ，B 币 和 比特 黄金 并 没 
有 提供 一 个 明确 的 解决 方案 。 两 位 发 明 人 所 著 文 草 上 暗示 的 解决 方案 是 ， 由 大 多 
数 人 来 决定 到 底 哪 个 是 对 的 。 但是， 因为 任何 人 都 可 以 用 不 同 号 份 设 置 一 个 或 
一 百 个 节点 ， 这 个 解决 方案 并 不 可 靠 ， 除非 有 一 个 管理 员 来 监管 网 络 和 人 口 。 比 
特 币 则 恰恰 相反 ， 如 果 攻 击 者 想 更 改 数据 ， 他 必须 要 比 其 他 所 有 人 加 起 来 的 解 
决 数学 计算 的 速度 还 要 快 。 这 样 就 保证 了 安全 性 ， 还 可 以 让 我 们 量化 直观 地 和 看 
到 整个 系统 有 多 安全 。 

B 币 和 比特 黄金 都 不 是 正式 发 布 的 体系 ，B 币 是 在 一 篇 发 表 在 邮件 组 的 文章 
中 提出 的 ， 比 特 黄 金 则 是 在 几 篇 博文 中 提出 的 。 二 者 未 被 真正 实施 和 广泛 应 用 
不 像 比特 币 日 上 及 书 ， 它 们 也 没有 给 出 详细 设 定 或 程序 源 代码 。 二 者 都 涉及 可 能 
无 解 的 奢 干 问题 。 其 一 是 前 文 讨论 过 的 数据 库 账 本 不 一 致 的 问题 。 男 外 的 问题 
是 ， 如 何 设置 创造 新 货币 的 数学 运算 的 难度 ?” 具有 同等 运算 能 力 的 人 硬件 随 着 时 
则 的 推移 越 来 越 便宜 ， 和 针对 这 一 问题 ， 比 特 币 采用 了 周期 性 自动 调节 运算 难度 
的 机 制 。B 币 和 比特 黄金 没有 这 样 的 机 制 ， 因 此 ， 它 们 的 货币 会 因为 创造 难度 
降低 而 贬值 。 


关于 中 本 聪 的 猜测 

你 大 概 知 道 ， 中 本 聪 是 比特 币 创 造 者 的 化 名 。 他 的 真实 身份 依然 是 一 个 迹 
团 ， 但 在 比特 币 早期 ， 他 还 是 比较 活跃 的 。 我们 可 以 从 他 留 下 的 这 些 印 记 中 ， 
探讨 一 下 他 本 人 ， 比 如 说 他 是 从 什么 时 候 开 始 研 究 比 特 币 的 ?我 们 谈论 过 的 那 
些 早期 构想 对 他 有 什么 影响 ? 是 什么 在 激励 着 他 ? 

中 本 聪 说 他 从 2007 年 5 月 左右 开始 编写 比特 币 。 他 选择 匿名 并 不 表示 他 会 
在 这 一 点 事情 上 说 访 ， 因 此 ， 我 姑且 相信 他 所 说 的 。 他 于 2008 年 8 月 注册 域名 
bitcoin. org。 同 时 ， 他 开始 给 一 些 他 认为 可 能 会 对 比特 币 感 兴趣 的 人 发 送 邮 件 ， 
图 述 他 的 想法 。2008 年 10 月 ,他 公开 发 表白 皮 书 ,解释 比特 币 协议 。 此 后 不 
人 人 ,他 又 公 天 了 比特 币 的 源 代 公 。 随 后 两 年 ， 他 在 论坛 上 发 布 信息 ， 与 许多 人 
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写 邮 件 交 流 ， 回 答 人 们 的 关切 。 在 编程 方面 ， 他 对 源 代 码 进 行 了 多 次 修改 。 他 
和 几 位 开发 人 员 一 同 维护 源 代 码 ， 修 复 补 本。2010 年 11 月， 别人 逐渐 开始 接手 
比特 币 项 目 ， 而 他 却 不 再 出 现 。 

我 用 “他 ”来 表示 中 本 聪 ， 但 其 实 我 并 不 知道 中 本 聪 到 底 是 男性 还 是 女性 ， 
只 是 因为 中 本 聪 是 个 男性 名 字 而 已 。 此 外 ， 我 认为 中 本 聪 是 一 个 人 ， 而 非 一 个 
团体 。 原 因 是 ， 仔 细 研 究 中 本 聪 所 有 的 网 络 交流 记录 ， 在 两 年 的 时 间 里 ， 一 个 
团队 里 的 多 个 人 共用 一 个 账号 回复 邮件 ， 修 改 代码 ， 保 持 风 格 、 语 气 和 内 容 一 
致 ， 这 简直 难以 想象 。 更 为 合理 的 解释 是 ， 展 现在 我 们 面前 的 中 本 聪 的 所 有 行 
为 是 由 同一 个 人 完成 的 。 

此 外 ， 从 他 的 文 草 和 所 打 的 补丁 来 看 ， 这 个 人 完全 了 解 比 特 币 的 整套 代码 
体系 和 设计 细节 。 我 们 有 理由 相信 源 代 码 和 白皮书 由 同一 个 人 所 写 。 最 后 ， 可 
能 在 一 开始 有 人 帮助 过 中 本 聪 。 虽然 如 此 ， 比 特 币 正式 发 布 之 后 ， 我们 可 以 看 
到 ， 中 本 聪 在 得 到 帮助 之 后 ,会 很 快 对 其 他 有 页 献 的 帮助 者 表示 感谢 。 从 这 点 
性 格 来 看 ， 他 应 该 不 会 在 接受 别人 的 帮助 之 后 闭口 不 言 ， 故 意 误 导 人 们 相信 比 
特 币 是 他 一 个 人 的 作品 。 

我 们 可 能 会 想 :“ 中 本 聪 知道 电子 现金 的 历史 吗 ?” 为 更 好 地 乔 清 楚 这 个 问 
题 ， 我 们 可 以 看 看 他 在 比特 币 网 站 上 早期 发 布 的 特 皮 书 里 的 引用 和 索引 。 在 白 
皮 书 中 ， 他 引用 了 一 些 基 本 密码 学 和 概率 论 的 论文 ， 也 引用 了 我 们 之 前 所 讨论 
的 时 间 惟 ,因为 比特 币 里 的 区 块 链 与 他 所 引用 的 内 容 相 似 度 极 高 ， 目 然而 然 地 ， 
我 们 会 认为 他 有 参考 别人 的 区 块 链 设 计 。 他 还 引用 了 哈 希 现金 ， 它 的 数学 计算 
与 比特 币 的 非常 类 似 。 此 外 ， 他 还 引用 了 B 币 。 随 后 ， 他 又 在 网 站 上 添加 了 上 比 
特 黄 金 和 一 个 由 喻 尔 . 分 尼 (Hal Finney) 设计 的 重复 利用 计算 数学 方案 的 参考 
索引 s 

但 是 ， 从 与 中 本 聪 有 早期 交流 的 人 公开 的 邮件 来 看 ,我 们 发 现 ，B 币 是 在 
亚当 贝 元 的 提议 下 才 加 入 比特 币 体系 的 。 随 后 ， 中 本 聪 给 B 币 的 创造 者 戴 伟 
发 邮件 。 从 邮件 中 可 以 看 出 ， 是 戴 伟 告 诉 了 他 比特 黄金 。 因 此 ， 激 发 中 本 聪 创 
造 比特 币 的 ， 并 不 一 定 是 这 些 方案 。 他 之 后 与 哈 尔 . 芬 尼 有 过 多 封 往来 邮件 ， 
这 可 以 解释 他 为 什么 在 网 站 上 或 者 其 他 地 方 引 用 了 芬 尼 的 成 果 。 
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基于 上 述 信息 ， 比 较 可 信 的 推断 是 ， 在 创建 比特 币 体 系 时 ， 中 本 聪 只 知道 
电子 现金 、 哈 希 现 金 和 时 间 戳 ， 认 为 只 有 这 些 与 比特 币 是 相关 的 。 然 而 ， 等 他 
知道 B 币 和 比特 黄金 的 时 候 ， 他 才 发 现 ， 这 两 个 也 与 比特 币 有 很 大 关系 。2010 
年 ， 维 基 百 科 主 编 认 为 比特 币 不 值 一 提 ， 准 备 删除 比特 币 词 条 。 中 本 聪 跟 男 外 
一 些 人 讨论 如 何 编 写 比特 币 词 条 ， 好 让 维基 百科 接受 它 。 中 本 聪 建议 这 样 描 述 
比特 币 :“ 比 特 币 是 戴 伟 在 1998 年 在 网 络 朋 克 中 所 提 到 的 B 币 构 想 和 尼 元 ， 院 
博 提出 的 比特 黄金 的 具体 实现 .” 可 见 ， 中 本 聪 这 时 确实 把 比特 币 看 成 二 者 的 延 
伸 或 具体 实施 ， 以 便 更 好 地 解释 比特 币 的 工作 原理 。 

那么 ， 中 本 聪 创建 比特 币 时 ， 他 知道 其 他 体系 吗 ? 比如 我 们 提 过 的 乔 姆 的 
电子 现金 和 信用 卡 方案 。 这 个 很 难 讲 。 我 们 找 不 到 他 了 解 它们 的 证 据 ， 但 也 有 
可 能 他 虽然 知道 ， 但 并 未 提 及 它们 ， 因 为 它们 与 比特 币 无 关 。 比 特 币 采用 了 完 
全 不 同 的 去 中 心 模式 ， 没 有 理由 去 提 已 经 失败 了 的 中 心 化 体系 . 

中 本 聪 自己 也 表明 了 这 一 点 。 他 在 发 表 在 比特 币 论 坛 里 的 一 篇 文章 里 ， 曾 
粗略 地 提 了 一 下 乔 姆 的 电子 现金 体系 。 他 当时 正在 写 一 篇 关于 opencoin. org 的 文 
章 ， 他 说 他 们 似乎 在 “讨论 老 一 套 的 乔 姆 中 心 造 币 体 系 ， 但 也 许 是 因为 他 们 别 
无 选择 ， 也 许 他 们 会 对 新 的 方向 感 兴趣 。20 世纪 90 年 代 以 来 所 有 的 虚拟 货币 公 
司 全 都 失败 了 ， 这 导致 许多 人 对 这 一 行业 非常 不 看 好 。 我 希望 ， 人 们 可 以 看 到 ， 
这 些 系统 之 所 以 失败 ， 显 然 是 因为 它们 的 中 心 化 控制 这 一 特性 。 我 想 我 们 正在 
首次 尝试 建立 一 个 去 中 心 化 的 非 认 证 系统 。” 从 这 段 话 里 ， 我 们 可 以 清晰 地 了 解 
到 中 本 聪 是 怎么 看 竺 之 前 的 系统 的 ， 特 别 是 ， 他 认为 比特 币 与 它们 是 不 同 的 .。 
去 中 心 化 这 一 特性 确实 真正 让 比特 币 从 其 他 虚拟 货币 脱颖而出 。 

中 本 联 瑟 下 的 为 一 段 话 上 暗示 他 不 是 学 术 派 人 士 。 大 多 数学 术 研 究 者 先 有 了 
构思 ， 然 后 写 下 来 ， 再 把 自己 的 构思 付 诸 实施 。 中 本 聪 说 他 的 方式 截然 相反 : 
“我 在 建造 比特 币 时 ， 其 实 是 倒 着 来 的 。 我 必须 写 下 所 有 代码 ， 才 能 使 自己 相信 
我 是 可 以 解决 任何 问题 的 ， 然 后 我 才 写 下 理论 。 我 认为 我 能 在 写 出 具体 设计 细 
节 之 前 就 可 以 公开 代码 。” 

中 本 聪 是 一 个 神秘 的 人 ， 值 得 一 提 的 是 ， 跟 所 有 人 一 样 ， 他 也 会 犯错 ， 也 
无 法 预测 未 有 来。 比特 币 的 源 代 但 和 设计 中 都 存在 很 多 漏洞 和 瑕 疲 。 例 如 ， 比 特 
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币 体 系 有 一 个 可 以 向 IP 地 址 发 送 比 特 币 的 功能 。 虽 然 当 时 人 们 并 未 发 现 ， 但 现 
在 看 来 ， 这 一 设计 十 分 糟糕 。 中 本 聪 在 构建 比特 币 用 途 时 ， 他 主要 侧重 于 比特 
币 在 互联 网 上 的 使 用 。 这 当然 是 比特 币 的 主要 用 途 ， 但 并 非 唯一 用 途 。 他 从 未 
想 过 ， 可 以 去 咖啡 店 用 比特 币 付 钱 . 

了 解 了 虚拟 货币 的 历史 之 后 ， 我 们 可 能 还 存在 一 个 疑问 :“ 为 什么 中 本 聪 要 
匿名 ?” 有 许多 可 能 的 原因 。 首 先 ， 也 许 他 就 是 喜欢 这 样 。 许 多 小 说 家 邦 选择 匿 
名 ， 像 班 克 西 (Banksy) 这 样 的 涂鸦 艺术 家 也 一 直 不 公开 身份 。 其 实 ， 在 中 本 
聪 活跃 的 网 络 朋 克 社 区 和 密码 学 邮件 组 ， 大 家 都 普 忆 采用 匿名 方式 发 表 文 章 。 

此 外 ， 中 本 聪 选 择 匿 名 可 能 还 有 法 律 上 的 顾虑 。 目 由 储备 〈Liberty Re- 
serve) 和 电子 黄金 (e-Gold) 这 两 家 美国 公司 都 因为 非法 洗钱 疙 上 了 厅 烦 。 
2006 年 ， 自 由 储备 的 创始 人 之 一 担心 被 指控 洗钱 ， oop 
人 一 直 待 在 美国 , 但 其 中 一 位 创始 人 被 指控 洗钱 并 最 后 认罪 。 这 一 事件 正好 发 
en ppg 许多 人 都 创 
立 过 虚拟 货币 系统 ,没有 人 因为 法 律 顾虑 而 选择 匿名 。 所 以 很 难说 这 到 底 是 不 
是 他 选择 匿名 的 根本 原因 。 

值得 注意 的 是 ,我 们 之 前 提 过 ， 电 子 现 金 的 一 些 技术 是 有 专利 保护 的 。 网 
络 朋克 运动 担心 实施 电子 现金 系统 会 侵犯 这 些 专利 。 事 实 上 ， 有 人 曾 在 网 络 朋 
区 邮件 组 发 表 文章 ， 建 议 由 一 群 匿名 的 程序 员 来 加 设 电子 现金 系统 ， 这样 ， 即 
使 侵权 ， 也 查 不 出 是 谁 。 但 是 ， 比 特 币 的 设计 与 电子 现金 的 专利 差别 很 大 ， 很 
难 判定 比特 币 侵犯 了 它 的 专利 权 ， 也 许 中 本 聪 选择 匿名 只 是 比较 谨慎 。 又 或 者 ， 
他 是 受到 网 络 朋克 社区 里 程序 员 匿 名 的 启发 。 

许多 人 认为 中 本 聪 选择 匿名 是 出 于 个 人 安全 方面 的 考虑 。 众 所 周知 ， 他 早期 
时 控 矿 获得 大 量 比特 币 ， 时 至 今日 ， 比 特 币 的 巨大 成 功 也 就 给 他 带 来 了 巨额 财富 。 
我 认为 这 个 原因 是 可 能 的 ， 毕 部， 选择 匿名 不 是 一 时 的 决定 ， 而 是 一 贯 的 风格 。 
尽管 如 此 ， 这 可 能 还 不 是 他 一 开始 就 选择 匿名 的 厚 因 。 当 他 首次 使 用 中 本 聪 这 个 
化 名 时 ， 他 还 没有 发 布 日 皮 书 和 源 代码 ， 很 难 想象 他 那 时 就 能 够 预测 到 比特 币 后 
来 会 取得 如 此 巨大 的 成 功 。 其 实 ， 在 早期 ， 中 本 聪 对 比特 币 的 未 来 持 乐观 有 旦 着 慎 
的 态度 。 他 明白 许多 之 前 的 尝试 都 失败 了 ， 比 特 币 最 终 也 可 能 失败 
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原版 前 言 
通 往 比特 币 的 漫长 道路 


结语 

与 之 前 的 失败 尝试 相 比 ， 比 特 币 的 成 功 令 人 瞩目 。 它 有 许多 优秀 的 创新 ， 
例如 区 块 链 和 去 中 心 化 实现 用 户 之 间 直 接 交 易 的 模式 等 。 它 能 够 有 效 地 确保 用 
户 的 匿名 性 ， 虽 然 还 做 得 不 够 完美 。 我 们 将 在 第 6 曹 详细 了 解 保 密 性 ， 比 特 币 
的 保密 性 从 某 种 意义 上 来 说 做 得 不 如 数字 现金 那么 好 ,但 从 为 一 个 角度 来 看 ， 
它 的 保密 性 要 更 强 。 因 为 在 数字 现金 系统 ， 只 有 消费 者 能 够 匿名 ， 商 家 则 不 能 。 
比特 币 为 消费 者 和 商家 (不 管 是 消费 者 还 是 商家 ) 提供 了 同等 程度 的 保密 性 。 

把 比特 币 和 我 们 之 前 讨论 过 的 虚拟 货币 系统 进行 对 比 ， 我 学 习 到 的 经 验 教 
训 是 : 第 一 ， 遇 到 困难 时 不 要 轻易 放弃 。20 年 来 ， 人 们 在 开发 虚拟 货币 的 道路 
上 一 直 失 败 , 但 这 并 不 意味 着 永远 开发 不 出 一 套 成 功 的 体系 。 第 二 ， 要 愿意 折 
中 妥协 。 如 果 你 想 把 保密 性 和 去 中 心 化 功能 做 到 完美 和 极致 ， 可 能 就 必须 牺牲 
其 他 的 功能 。 回 顾 比 特 币 的 发 展 史 ， 它 找到 了 一 个 完美 的 平衡 点 。 它 的 保密 性 
不 够 完美 ， 需 要 用 户 连接 到 点 对 点 的 网 络 ， 但 用 户 愿 意 接受 这 样 的 设 定 。 

最 后 ， 众 志 成 城 。 比 特 币 吸引 了 一 批 具 有 激情 的 用 户 和 开发 者 ， 他 们 愿意 
为 开源 技术 出 一 分 力 ， 这 与 之 前 由 公司 开发 的 虚拟 货币 很 不 一 样 ， 后 者 的 支持 
者 只 是 公司 内 部 员工 而 已 。 比 特 币 如 今 的 成 功 很 大 一 部 分 是 因为 它 拥 有 一 个 庞 
大 的 生机 皂 支 的 支持 和 群体， 他们 共同 推动 科技 的 发 展 ， 招 徕 客户 ,说 服 商 家 采 
用 筷 。 
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所 有 货币 都 需要 通过 某 种 方式 控制 供给 ， 并 需要 实施 各 种 安全 属性 以 防止 
欺骗 行为 发 生 。 就 法 定货 币 而 言 ， 中 央 银 行 这 样 的 机 构 控 制 货币 供给 ， 并 在 实 
体 货币 上 加 上 上 防伪 标识 ， 这 些 安全 属性 提升 了 攻击 货币 的 门槛 和 难度 ， 但 并 非 
不 可 能 伪造 。 最 终 ， 执 法 部 门 仍 需 要 介入 ， 以 防止 货币 系统 规则 受到 破坏 ， 

加 密 数 字 货 币 也 必须 采取 安全 措施 ， 以 防御 破坏 系统 状态 的 行为 ， 同 时 加 
密 数 字 货 币 还 需要 防止 “ 混 消 ”， 即 对 不 同 的 人 说 出 相互 矛盾 的 话 。 例 如 ， 如 果 
爱丽 丝 (Alice) 让 鲍 扫 (Bob) 确信 她 加 他 文 付 了 一 个 数字 币 ， 她 就 不 能 再 说 
服 卡 罗 和 尔 〈Carol) ， 也 给 她 支付 同一 个 数字 币 。 加 密 数 字 货 币 与 法 定货 币 的 不 同 
在 于 ， 其 安全 规则 需要 完全 通过 技术 手段 实现 ， 而 非 依 赖 于 中 央 机 构 。 

顾名思义 ， 加 密 货 币 着 力 采 用 密码 技术 。 密 码 学 提供 一 个 将 加 密 货 币 体系 
规则 编码 到 系统 本 身 的 机 制 ， 我 们 不 但 可 以 利用 密码 学 防止 对 系统 的 干扰 ， 并 
且 能 够 避免 混淆 ， 也 能 用 其 将 新 货币 单位 创造 规则 编码 到 数学 协议 中 。 为 了 能 
够 深刻 理解 加 密 数字 货币 系统 ， 我 们 需要 首先 探究 该 系统 所 依赖 的 密码 学 基础 。 

密码 学 是 一 个 高 深 的 学 术 领 域 ， 用 到 了 很 多 不 被 大 众 所 知 的 数学 理论 ， 并 
旦 其 理论 也 比较 复杂 。 羡 运 的 是 ， 比 特 币 只 运用 到 了 密码 学 中 少量 相对 较为 浅 
显 的 一 些 理论 。 在 本 章 中 , 我 们 会 特别 讨论 一 下 密码 学 中 的 哈 希 算法 (Hash) 
和 数字 签名 (digital signature) 技术 ， 这 两 个 基本 概念 对 构建 一 个 加 密 数 字 货 币 
系统 非常 关键 。 在 后 面 的 章节 中 ， 我 们 会 介绍 一 些 更 复杂 的 密码 学 理论 ， 例 如 
零 知 识 验 证 (zero-knowledge proof) , 这 个 概念 被 应 用 到 了 对 比特 币 网 络 的 拓展 和 
改进 之 中 ， 
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在 学 习 了 必要 的 密码 学 基础 之 后 ， 我 们 将 讨论 如 何 用 这 些 密码 学 基础 构建 
一 个 加 密 数 字 货 币 系 统 。 在 本 章 末 尾 ， 我 们 会 列举 一 些 简 单 的 加 密 贷 币 案 例 ， 
来 前 明 我 们 在 设计 中 遇 到 的 挑 成 。 


1.1 密码 学 哈 硕 明 数 


我 们 需要 理解 的 第 一 个 密码 学 的 基础 知识 是 密码 学 哈 希 函数 ， 哈 希 函 数 是 
一 个 数学 函数 ， 具 有 以 下 三 个 特性 : 


。 其 输入 可 为 任意 大 小 的 字符 串 。 

。 它 产生 固定 大 小 的 输出 。 为 使 本 章 讨论 更 具体 ， 我 们 假设 输出 值 大 小 为 
256 位 ， 但 是 ,我 们 的 讨论 适用 于 任意 规模 的 输出 ， 只 要 其 足够 大 。 

它 能 进行 有 效 计 算 ， 简 单 来 说 就 是 对 于 特定 的 输入 字符 串 ， 在 合理 时 间 
内 ， 我 们 可 以 算出 哈 希 函数 的 输出 。 更 准确 地 说 ， 对 应 n 位 的 字符 串 ， 
其 哈 希 值 计算 的 复杂 度 为 O(n)。 


这 些 特性 定义 了 一 般 哈 希 函数 ， 以 这 个 函数 为 基础 ， 我 们 可 以 创建 数据 结 
构 ， 例 如 哈 希 表 。 我 们 将 只 专注 于 加 密 的 哈 希 函数 ， 要 使 哈 希 函数 达到 密码 安 
全 ， 我 们 要 求 其 具有 以 下 三 个 附加 特性 : (1) 碰撞 阻力 (collision-resistance ) ; 
(2) 隐秘 性 (hiding) ; (3) 谜 题 友好 (puzzle-friendliness)。 

我 们 会 仔细 研究 这 些 特性 ， 并 会 逐步 阐释 我 们 为 什么 需要 这 样 的 函数 。 学 
习 过 密码 学 的 读者 可 能 会 注意 到 ， 我 们 这 里 对 于 哈 希 函数 的 论述 与 一 般 的 密码 
学 课程 会 有 所 不 同 ， 特 别 是 关于 谜 题 友好 。 在 一 般 密码 学 中 ， 谜 题 友 好 并 非 加 
密 的 哈 希 函数 的 一 般 要 求 ， 却 对 加 密 数字 货币 这 一 特性 非常 有 用 。 


特性 1: 碰撞 阻力 


加 密 的 哈 乔 图 数 的 第 一 个 特性 是 它 要 具有 碰撞 阻力 。 这 里 的 碰撞 指 对 于 两 
个 不 同 的 输入 ,产生 相同 的 输出 。 如 果 对 于 哈 希 函数 H (:)， 没 有 人 能 够 找到 
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碰撞 ， 我们 则 称 该 函数 具有 碰撞 阻力 〈( 见 图 1.1)。 即 : 


碰撞 阻力 ”如 果 无 法 找到 两 个 值 ， x 和 y，xzy, 而 H (x) =H (y)， 则 称 
哈 希 函数 日 具有 碰撞 阻力 。 
x @ 
OH(x)=H(y) 
y @ 


图 1.1 哈 希 碰撞 
注 : x 和 y 分 别 是 不 同 输 入 ， 当 作为 哈 硕 图 数 的 输入 时 ， 会 产生 相同 的 输出 。 这 时 我 们 就 说 这 个 
师 数 是 哈 硕 碰撞 的 


注意 ,我 们 说 没 人 能 找到 碰撞 ， 并 不 表示 不 存在 碰撞 。 事 实 上 ， 通 过 简单 
的 计数 论证 (counting argument) ， 我 们 可 以 证 明 碰 撞 的 确 存 在 。 哈 硕 图 数 的 输 
入 空间 包含 所 有 长 度 的 任意 字符 串 ， 但 输出 空间 则 只 包含 特定 固定 长 度 的 字符 
串 。 因 为 输入 空间 比 输出 空间 大 (输入 空间 是 无 限 的 ， 而 输出 空间 是 有 限 的 )， 
一 定 会 有 输入 字符 串 映射 到 相同 的 输出 字符 串 。 实 际 上 ， 根据 饮 梨 原理 (Pi- 
geonhole Principle) ， 我 们 可 以 得 出 ， 必 然 会 有 大 量 可 能 的 输入 被 映射 到 任意 特 
定 输出 〈 见 图 1.2)。 





we 
f 
pa 
\ 
人 > 可 能 的 输出 
可 能 的 输 


图 1.2 必然 的 磁 撞 
注 : 因为 输入 的 数量 超过 输出 的 数量 ， 我 们 可 以 确定 某 一 个 输出 肯定 对 应 多 个 输入 。 
而 更 糟糕 的 是 ， 对 于 加 密 的 哈 硕 果 数 ， 我 们 虽然 说 应 该 找 不 到 碰撞 ， 但 有 些 
方法 是 能 保证 找到 碰撞 的 。 考 虑 以 下 对 应 于 一 个 256 位 输出 大 小 的 哈 硕 困 数 ， 选 择 
2 “+1 个 不 同 数值 ， 计 算 每 个 数 的 哈 希 值 ， 并 检查 是 否 有 两 个 相等 的 输出 。 因 为 我 


wNv ai bbt.com ODDODDOD 





Ui 


区 块 链 ， 技术 驱 动 金融 


们 这 里 选择 的 输入 多 于 输出 ， 因 此 在 应 用 哈 希 晴 数 时 ， 一 些 数 对 必 将 产生 碰撞 ， 

使 用 上 述 方法 一 定 能 找到 碰撞 。 但 如 果 我 们 随机 性 地 选择 输入 ， 并 计算 喻 
希 值 ， 我 们 在 检验 第 2” +1 个 输入 之 前 便 很 可 能 找到 碰撞 ， 实 际 上 ， 如 果 我 们 
随机 选择 2“+1 个 输入 值 ， eo 为 99. 8% 。 仅 仅 通 
过 检验 可 能 输出 数量 的 平方 根 次 数 , 便 大 体能 找到 碰撞 ， 这 一 事实 在 概率 学 中 
被 称 为 是 生日 悖 论 (birthday paradox ) 

这 个 碰撞 检测 算法 对 每 个 蛤 硕 哺 数 都 有 效 , 但 是 它 的 问题 是 其 计算 需要 化 
很 长 很 长 时 间 才 能 完成 。 对 于 一 个 256 位 输出 的 喻 希 滑 数 来 说 ， 最 坏 的 情况 是 
你 需要 进行 2” +1 次 哈 硕果 数 计算 ， 平均 次 数 为 2” 次， 这 简直 是 一 个 天 文 数 
字 一 一 如 果 一 台电 脑 每 秒 计算 10 000 个 哈 希 值 ， 计 算 2 ”个 哈 硕 值 ， 需 要 花 10” 
多 年 时 间 ! 换个 角度 ， 我们 可 以 说 ， 如 果 人 类 制造 的 每 台电 脑 在 整个 宇宙 起 源 
时 便 开 始 计算 ， 到 目前 为 止 ， 它 们 找到 碰撞 的 概率 仍然 无 穷 小 ， 比 下 两 秒 钟 地 
球 将 被 大 陨石 摧毁 的 概率 还 要 小 得 多 ， 

央 此 ， 为 了 寻找 一 个 任意 的 喻 希 哨 数 的 碰撞 ， 我 们 只 是 有 了 一 个 一 般 ， 但 
并 不 实用 的 算法 。 一 个 更 艰深 的 问题 是 ， 有 没有 其 他 的 方法 ， 可 以 用 于 对 于 某 
一 特定 蛤 希 消 数 找 到 碰撞 ? 也 就 是 说 ， 虽 然 一 般 的 碰撞 测试 算法 不 适用 ， 但 仍 
叮 能 有 其 他 的 算法 ， 可 以 有 效 地 找到 某 个 哈 希 了 清 数 的 碰撞 。 

以 下 面 的 喻 希 清 数 为 例 : 

H (x) =x mod 2™ 
这 个 盟 数 接受 任何 长 度 的 输入 , 产生 一 个 固定 大 小 输出 (256 位 ) ， 且 能 进行 
有 效 计 算 ， 因 此 符合 我 们 对 哈 希 也 数 的 要 求 。 但 是 对 于 这 个 函数 ,我 们 确实 具备 
-个 有 效 的 能 够 寻找 碰撞 的 方法 注意， 这 个 隐 数 仅 返 回 输入 的 最 后 256 位 ， 内 
此 ， 数值 3 和 3 +2™ 就 构成 了 碰撞 2。 这 个 简单 的 例子 表明 ， 虽然 我 们 的 一 般 碰撞 


了 生日 怪 论 是 指 ， 如 果 一 个 房间 里 有 23 个 或 23 个 以 上 的 人 ， 那 么 至 少 有 两 个 人 的 生日 相同 的 概率 
区 大 于 50% 这 就 意味 着 在 一 个 典型 的 标准 小 学 班级 (30 人) 中 ,存在 两 人 生日 相同 的 可 能 性 更 


癌 。 对 于 60 或 者 更 多 的 人 ， 这 种 概率 要 大 于 99% ,一 一 译 者 注 
也 3 和 3+2™ 对 2””， 求 余数 之 后 ， 结 果 都 是 3 一 一 译 者 注 
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测试 方法 在 实践 中 不 可 行 ， 但 至 少 对 于 某 些 喻 希 哺 数 ， 存 在 有 效 的 测试 碰撞 的 方法 。 

但 对 于 某 些 哈 希 函数 ,我 们 无 法 确认 识别 碰撞 的 有 效 方法 是 否 存 在 ， 我 们 
只 是 怀疑 这 些 函 数 具 有 防 碰 撞 特 性 ， 但 是 我 们 已 经 证 明 ， 世 界 上 没有 哈 布 师 数 
县 有 防 碰撞 特性 。 我 们 实践 中 依赖 的 加 密 的 哈 硕果 数 仅仅 是 人 们 经 过 不 懈 努 力 
之 后 暂 未 成 功 找到 碰撞 的 函数 。 因 此 ， 我 们 选择 相信 那些 加 密 的 哈 布 另 数 具 有 
哈 希 阻力 〈 在 某 些 情况 下 ， 如 之 前 的 MDS 哈 希 函数 ， 在 多 年 的 努力 之 后 最 终 找 
到 了 碰撞 ， 导 致 该 郴 数 在 实践 中 被 逐渐 淘汰 ， 最 终 被 痉 用 ) 。 


应 用 : 信息 摘要 

现在 我 们 知道 什么 是 碰撞 阻力 了 ， 我 们 自然 会 问 : 碰撞 阻力 有 什么 用 途 ? 
以 下 就 是 一 个 应 用 : 哈 希 函数 H 具有 碰撞 阻力 ，x 和 y 是 两 个 不 同 的 输入 ， 屠 
么 可 以 假设 它们 的 哈 希 也 数 H (x) 和 H (y) 也 不 同一 一 如 果 已 知 x 和 y 不 同 ， 
但 哈 希 值 相同 ， 那 么 H 具有 碰撞 阻力 的 假设 就 不 成 立 了 。 

这 个 论证 使 我 们 可 以 将 哈 硕 输 出 作为 信息 摘要 (message digest) 。 以 Secure- 
Box 为 例 ，SecureBox 是 一 个 允许 用 户 上 传 文件 ， 并 保证 文件 被 完整 下 载 的 线 上 
文件 存储 系统 。 假 设 爱丽 丝 上 传 了 很 大 的 文件 ， 并 希望 能 够 在 之 后 下 载 时 确认 
她 下 载 的 文件 与 她 上 传 的 文件 相同 。 一 种 方法 是 将 整个 文件 进行 本 地 存储 ， 并 
直接 将 其 与 下 载 文 件 对 比 。 如 果 这 样 可 行 ， 那么 将 文件 上 传 便 显得 毫 无 意义 ， 
倘若 爱丽 丝 需要 使 用 本 地 文件 副本 以 保证 其 完整 性 ， 她 可 以 直接 使 用 本 地 副本 。 

无 碰撞 哈 希 图 数 为 这 个 问题 提供 了 简单 有 效 的 解决 方法 ， 爱 丽 丝 只 需要 记 
住 原文 件 的 哈 布 值 ， 从 SecureBox 下 载 文件 后 ， 她 可 以 计算 下 载 文件 的 哈 希 值 ， 
并 与 原文 件 喻 希 值 进行 对 比 。 如 果 哈 希 值 相同 ， 那 么 爱丽 丝 可 以 说 该 文件 就 是 
她 上 传 的 那 一 个 , 但 是 如 果 不 同 ， 她 则 可 以 确定 文件 被 破坏 了 。 记 录 哈 希 值 可 
以 帮助 爱丽 丝 检测 文件 在 传输 过 程 中 ， 或 在 SecureBox 服务 器 上 是 否 产 生 了 意外 
损坏 ， 或 者 检测 文件 是 否 受 到 服务 需 的 蓄意 修改 。 保 证 主体 不 受 其 他 实体 的 恶 
意 行 为 侵害 ， 这 正 是 密码 学 的 核心 

这 里 的 哈 希 消 数 对 于 一 个 信息 生成 固定 长 度 的 摘要 ,或 生成 了 简明 总 结 ， 
这 为 我 们 提供 了 一 种 记 住 之 前 所 见 事物 ， 并 在 今后 认 出 这 些 事物 的 有 效 方法 。 
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虽然 整个 文件 可 能 非常 大 ， 存 储 规模 达 数 G,， 但 其 哈 希 值 的 长 度 固定 。 例 如 ， 
哈 希 函数 为 256 位 。 这 样 做 ， 极 大 地 降低 了 存储 要 求 。 在 本 章 后 面 及 整 本 书 中 ， 
我 们 都 会 看 到 哈 布 作为 信息 摘要 的 应 用 。 


特性 2: 隐秘 性 

我 们 和 希望 哈 硕果 数 拥有 的 第 二 个 特性 是 其 隐秘 性 。 隐 秘 性 保证 ， 如 采 我 们 
仅仅 知道 哈 希 函数 的 输出 y=H (x) ， 我 们 没有 可 行 的 办 法 算出 输入 值 xz。 问题 
是 ， 上 述 的 表示 形式 不 一 定 是 正确 的 。 考 虑 以 下 简单 的 例子 : 我 们 做 一 个 抛 硬 
币 的 实验 ， 如 有 果 抛 硬币 结果 为 正面 ， 我 们 会 宣布 字符 串 哈 布 为 “正面 " ; 如 果 结 
采 为 反面 ， 我 们 会 宣布 字符 串 哈 布 为 “反面 ”。 

然后 我 们 问 我 们 的 对 手 ， 在 他 没有 见 到 抛 人 硬币 ， 而 只 见 到 哈 希 函数 的 输出 的 前 
提 下 说 出 哈 希 也 数 的 输入 字符 串 (很 快 我 们 就 知道 为 什么 要 玩 这 个 游戏 了 )。 为 了 回 
答 问题 ， 对 手 会 简单 计算 “正面 ”字符 串 的 喻 希 值 及 “反面 ”字符 串 的 喻 希 值 ， 然 
后 对 手 便 可 以 知道 他 得 到 的 是 哪 一 个 。 这 样 ， 只 需要 几 步 ， 对 手 就 能 反 解 出 输入 值 。 

对 手 能 够 猿 出 字符 串 ， 这 是 因为 x 只 有 两 个 可 能 ， 他 可 以 很 轻易 地 将 两 个 
可 能 对 应 的 哈 硕 值 计算 出 来 。 为 了 能 够 实现 隐秘 性 ， 我 们 需要 x 的 取 值 来 自 一 
个 非常 广泛 的 集合 ， 也 就 是 说 ， 仪 仅 通 过 尝试 几 个 特定 的 x， 就 能 找到 输出 值 的 
方式 将 不 会 发 生 了 。 

现在 的 问题 是 : 在 类 似 抛 人 硬币 的 “正面 ” “反面 ”实验 中 ， 如 果 我 们 想 要 
的 反 解 的 输入 值 并 非 来 目 分 散 的 集合 ， 我 们 是 否 还 能 得 到 隐秘 性 ”幸运 的 是 ， 
对 于 这 个 问题 答案 是 肯定 的 ! 我 们 甚至 能 够 通过 与 男 一 个 较为 分 散 的 输入 进行 
结合 ， 而 将 一 个 并 不 分 散 的 输入 进行 隐秘 。 现 在 我 们 可 以 更 精确 地 表示 隐秘 的 
含义 了 《〈 双 坚 线 |‖ 为 连接 符号 ， 代 表 把 一 系列 事件 、 事 情 等 联系 起 来 ) 。 


隐秘 性 哈 币 了 马 数 H 具有 隐秘 性 ， 如 有 果 : 当 其 输入 了 选 自 一 个 高 阶 最 小 灶 
(high min-entroy) 的 概率 分 布 ， 在 给 定 了 本 (rx) 条 件 下 来 确定 x 是 不 可 行 的 。 


在 信息 论 中 ， 最 小 灶 是 用 于 测试 结果 可 预测 性 的 手段 ， 而 高 阶 最 小 精 这 个 
慨 念 比较 直观 描述 了 分 布 ( 如 随机 变量 ) 的 分 散 程度 。 具 体 来 说 ， 在 从 这 样 分 
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布 中 取样 时 ， 我 们 将 无 法 判定 取样 的 倾向 。 举 个 具体 的 例子 ， 如 果 r 是 从 长 度 为 
256 位 的 字符 串 中 随意 选 出 的 ， 那 么 任意 特定 字符 串 被 选中 的 概率 为 1 /2”“”， 这 
是 一 个 小 到 几乎 可 以 忽略 的 取 值 。 


应 用 : 承诺 


现在 来 看 一 下 隐秘 性 的 应 用 。 有 具体 来 说 ， We rd nn 
mitment ) 。 这 里 承诺 是 一 个 数字 化 过 程 ， 可 以 类 比 为 以 下 动作 : 首先 选 定 一 个 数 
ts nid gatos de 
， 可 以 说 你 就 信封 里 的 数字 做 出 了 承诺 ， 在 打开 信封 前 ， 虽然 你 已 经 做 出 了 承 
， 对 其 他 人 来 说 它 还 是 秘密 。 在 之 后 ， 你 可 以 打开 信封 ,来 展示 承诺 的 数值 。 


也 蛋 


+ 


< 


承诺 协议 ”一 个 承诺 协议 方案 由 两 个 算法 构成 : 


e com: =commit (msg, nonce)， 承 诺 吕 数 将 信息 (msg) 和 一 个 临时 随机 
数 (nonce) 作为 输入 ， 输 出 就 是 一 个 “承诺 ” 

® verify (com, msg, nonce), 验证 函数 将 菜 个 承诺 输出 (com) 、 临 时 随机 
数 (nonce) 及 信息 (msg) 作为 输入 ， 如 果 com = = commit (msg， 
nonce) ， 则 返回 “ 真 ”(true); 反之 则 返回 “ 假 ”(false) 。 


我 们 要 求 以 下 两 个 安全 特性 要 成 立 : 


e 隐秘 性 已 知 com， 没 有 可 行 的 方法 找到 msg。 
e 约束 性 : 没有 可 行 的 办 法 找到 两 组 (msg, nonce) 和 (msg”，nonce "”) ， 


msg 天 msg ， 而 commit (msg，nonce) = =commit (msg”，nonce ”) 。 


为 了 使 用 承诺 方案 , 我 们 首先 需要 产生 一 个 临时 随机 数 。 然 后 将 这 个 临时 
随机 数 与 承诺 信息 msg 一 起 代入 承诺 水 数 ， 计 算 承 诺 函 数 输 出 值 com， 然 后 公布 
该 输出 。 这 个 过 程 就 如 同 将 封 好 的 信封 放 到 一 个 人 人 能 看 到 的 桌 上 那样 。 之 后 
如 果 我 们 希望 展示 之 前 的 承诺 值 ， 我 们 首先 公布 用 于 产生 承诺 的 临时 随机 数 ， 
并 公布 信息 msg。 此 时 任何 人 都 可 以 验证 这 时 公布 的 msg 是 否 为 之 前 承诺 ， 这 个 
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阶段 就 如 同 打开 信封 。 


对 于 每 次 的 承诺 值 ， 你 都 需要 选择 新 的 随机 值 ， 这 一 点 很 重要 。 在 密码 学 
中 ， 术 语 nonce 是 指 ， 该 取 值 只 能 使 用 一 次 。 


以 上 两 个 安全 特性 决定 了 这 一 算法 就 如 同 密 封 及 打开 信封 。 第 一 ， 如 有 果 仅 
仅 知 道 com， 即 承诺 畏 数 的 输出 ， 就 如 同 只 看 信封 并 不 能 得 到 信息 内 容 ; 第 二 就 
是 约束 性 ， 这 就 保证 了 你 一 旦 承诺 信封 内 的 内 容 ， 就 不 能 青 改变 主意 。 也 就 是 
说 ， 我 们 无 法 找到 两 个 不 同 的 信息 ， 当 你 在 承诺 一 个 信息 后 ， 而 又 声称 你 承诺 
了 田 一 个 信息。 

我 们 如 何在 承诺 协议 中 保证 隐秘 性 和 约束 性 这 两 个 性 质 成 立 呢 ?在 讨论 这 
一 点 之 前 ， 我 们 需要 讨论 如 何 执 行 承 诺 方 案 。 我 们 可 以 通过 使 用 加 密 的 哈 希 晤 
数 来 达到 目的 ， 考 虑 如 下 承诺 协议 实施 方案 : 


commit (msg, nonce): =H (nonce || msg) 


其 中 ，nonce 为 长 度 为 256 位 的 临时 随机 数 。 

为 承诺 一 段 消息 ， 我 们 首先 生成 一 个 256 位 的 临时 随机 数 ， 然 后 将 这 个 临 
时 随机 数 与 信息 链接 ， 并 返回 这 个 链接 值 的 哈 希 值 ， 来 作为 承诺 输出 。 为 了 便 
于 验证 ,我 们 还 要 设 定 其 他 人 来 计算 一 下 临时 随机 数 与 信息 链接 之 后 的 哈 希 值 ， 
比 对 一 下 计算 结果 是 否 与 承诺 输出 相同 。 

再 来 看 一 下 我 们 的 承诺 方案 要 求 的 两 个 特性 ， 如 果 我 们 将 承诺 和 验证 换 成 
H (nonce | msg) ， 那 么 这 些 特性 束 变 成 : 


e 隐秘 性 : 已 知 日 (nonce | msg)， 没 有 可 行 方 法 找到 msg。 
e。 约束 性 : 没有 可 行 方法 找到 两 对 (msg, nonce) 和 (msg”，nonce " )， 
msg 天 msg , 而 H (nonce|| msg) = =H (nonce’ || msg’ ). 


限 诡 的 隐秘 特性 正 是 我 们 要 求 哈 硕 男 数 要 具备 的 隐秘 性 ， 如 果 将 一 个 解密 
钥匙 选 定 为 256 位 的 随机 值 ， 那 么 由 隐秘 性 得 出 ， 如 果 解 密 钥 匙 与 信息 链接 ， 
那么 仅仅 从 哈 硕 果 数 的 输出 中 恢复 信息 就 是 不 可 行 的 。 约 束 性 隐 含 在 哈 希 函数 
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的 碰撞 阻力 特性 中 外 ， 如 果 哈 布 孔 数 有 具有 碰撞 阻力 ， 那 么 我 们 将 不 能 找到 不 同 的 
msg 及 msg 值 ， 而 H (nonce | msg) =H (nonce msg )， 如 末 这 种 情况 发 生 ， 
将 构成 碰撞 ， 

因此 ， 如 果 哈 希 国 数 H 具有 碰撞 阻力 及 隐秘 性 ， 从 安全 特性 上 来 讲 ， 
承诺 方案 将 有 效 ， 


特性 3 : 迹 题 友好 

哈 厦 轴 数 需要 的 第 三 个 安全 特性 为 迷 题 友好 特性 。 这 一 特性 较为 复杂 ， 我 
们 首先 解释 该 特性 的 技术 要 求 ， 然 后 有 扩 过 学名 永国 机 插入 蕊 义 

直觉 上 ， 迹 题 友好 可 以 这 样 解释 ， 如 果 有 一 个 人 想 找到 y 从 所 对 应 的 输入 ， 假 
定 在 输入 集合 中 ， 有 一 部 分 是 非常 随机 的 ， 那 么 他 将 非常 难以 求 得 y 值 对 应 的 输入 


谜 题 友好 如果 对 于 任意 n 位 输出 值 y， 假 定 k 选 自 高 阶 最 小 灶 分 布 ， 如 果 


无 法 找到 一 个 可 行 的 方法 ， 在 比 2" 小 很 多 时 间 内 找到 x, 保证 H (kx) = 
V 成 立 ， 那 么 我 们 称 哈 布 函数 理 为 谜 题 友 好 。 


应 用 : 搜索 谜 题 

现在 ， 证 我 们 试想 一 个 应 用 以 曾 释 这 题 友 好 特性 的 意义 。 在 这 个 应 用 中 ， 
我 们 将 建立 一 个 搜索 迹 题 ， 该 恋 题 是 一 个 需要 对 庞大 空间 进行 搜索 ， 才 能 找到 
解决 办 法 的 数学 问题 。 该 搜索 谜 题 没 有 捷径 ， 也 就 是 说 除了 搜索 庞大 的 空间 来 
进行 求解 ， 别 无 他 法 。 

搜索 谜 题 “搜索 迹 题 构成 : 


e 一 个 哈 布 函数 日 
e 从 高 阶 最 小 分 布 选 出 的 一 个 取 值 ， 计 (我 们 称 其 为 迹 题 ID)， 


结论 反之 人 不成立， 就 是 说 ， 我 们 可 以 找到 碰撞 ， 但 都 不 是 满足 H (nonce | msg) = = 日 (nonce | 
msg ) 意义 下 的 碰撞 。 例 如 ， 你 可 以 对 于 同一 个 信息 来 产生 满足 同一 承诺 的 随机 数 ， 但 这 里 的 哈 
名 蜗 数 不 具备 碰撞 阻力 特性 
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e 目标 集合 工 。 


该 迹 题 的 解决 方法 为 一 个 解 ，x， 应 该 满足 以 下 公式 .: 
这 民 庆 并 秽 ， 坪 党 


这 个 直觉 是 : 如 果 瑟 有 一 个 nm 位 输出 ， 那 么 它 的 可 能 取信 有 2 人 个。 解决 这 
个 谜 题 要 求 找到 一 个 位 于 集合 Y (通常 比 所 有 输出 值 集合 小 很 多 ) 内 的 输出 值 ， 
Y 的 大 小 决定 了 谜 题 的 难度 。 如 果 丫 是 所 有 n 位 字符 串 的 集合 ， 这 个 谜 题 就 坚 
无 意义 。 人 然而， 如果 Y 只 有 一 个 元 素 ， 那 么 这 个 迹 题 难度 最 大 ， 迹 题 ID 取 自 高 
阶 最 小 科 分布 ， 这 个 事实 保证 了 求解 无 捷径 。 反 过 来 ， 如 有 果 该 ID 的 确定 性 很 
高 ， 那 么 有 人 可 能 会 作弊 ， 比 如 通过 使 用 该 ID ， 事 先 对 谜 题 进行 求解 。 

如 果 一 个 哈 希 函数 具备 谜 题 友 好 特性 ， 这 就 意味 着 对 于 这 个 迷 题 没有 一 个 
解决 策略 ， 比 只 是 随机 地 尝试 x 取 值 会 更 好 。 因 此 ， 如 果 我 们 要 把 谜 题 做 成 很 
难 解 决 是 可 以 的 ， 只 要 我 们 能 用 适合 的 随机 方式 生成 恋 题 D。 当 我 们 讨论 比特 
币 采 矿 (是 一 种 搜索 谜 题 ) 时 会 采用 这 一 思路 。 


安全 哈 希 算法 

我 们 讨论 了 哈 希 函数 的 三 个 特性 及 其 相应 的 应 用 。 现 在 ， 让 我 们 讨论 本 书 
中 将 会 大 量 用 到 的 一 个 哈 希 函数 ， 安 全 哈 希 算法 (Secure Hash Algorithm 256， 
简称 SHA -256) 。 哈 希 函 数 有 很 多 ， 但 SHA - 256 是 一 个 主要 被 比特 币 世界 采 
用 ， 并 且 效 果 还 很 不 错 的 哈 希 函数 。 

回想 一 下 ,我们 要 求 哈 希 函数 可 以 用 于 任意 长 度 输入 。 幸 运 的 是 ， 只 要 我 
们 能 建立 一 个 用 于 固定 长 度 输入 的 哈 希 函数 ， 然 后 通过 一 般 方法 ， 就 可 以 将 接 
受 固定 长 度 的 哈 希 函数 转化 为 可 接受 任意 长 度 输入 的 哈 希 函数 ， 我 们 称 这 个 转 
换 过 程 为 MD (Merkle-Damgard) 变换 ，SHA -256 是 采用 这 种 变换 方法 的 常用 
哈 希 函数 之 一 。 在 通用 术语 中 ， 这 种 基础 型 ， 可 用 于 同 定 长 度 ， 具 备 碰撞 阻力 
的 哈 希 函数 被 称 为 是 压缩 函数 (compression function)。 经 过 验证 ， 如 果 基 本 不 
缩 函数 具有 碰撞 阻力 的 特性 ， 那么 经 过 转换 而 生成 的 哈 希 函数 也 具有 碰撞 阻力 。 

MD 变换 很 简单 。 比 如 压缩 函数 代入 长 度 为 m 的 输入 值 ， 并 产生 长 度 短 一 
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些 为 n 的 输出 值 。 哈 希 函 数 的 输入 (可 为 任意 大 小 ) 被 分 为 长 度 为 m -mn 的 区 
块 。MD 变换 运作 过 程 如 下 : 将 每 个 区 块 与 之 前 区 块 的 输出 一 起 代入 压缩 消 数 ， 
注意 ,输入 长 度 则 变 为 (m -n) +n=m， 也 刚好 就 是 压缩 图 数 的 输入 长 度 。 对 
于 第 一 个 区 块 而 言 , 之 前 没有 的 区 块 ， 我 们 需要 选取 一 个 初始 同 量 ( 见 
图 1.3)。 每 次 调用 哈 硕 函数 ， 这 个 数字 都 会 被 再 一 次 使 用 ， 而 在 实践 中 ， 你 可 
以 直接 在 标准 文档 中 找到 它 。 最 后 一 个 区 块 的 输出 也 就 是 你 返回 的 结果 。 

SHA -256 图 数 利用 了 这 样 的 一 个 压缩 图 数 ， 这 个 压缩 困 数 把 一 个 768 位 的 
输入 压缩 成 一 个 256 位 的 输出 ， 每 一 个 区 块 的 大 小 是 512 位 。 我 们 可 以 通过 
图 1. 3 来 理解 SHA - 256 的 工作 过 程 。 


512 位 比特 





256 位 比特 256 位 比特 
/ 初始 ， 哈 硕 

问 量 ， 函数 
™ 及 NS 


图 1.3 SHA -256 哈 希 函 数 简化 图 
注 : SHA -256 利用 MD 变换 把 一 个 固定 输入 的 防止 碰撞 的 压缩 函数 变换 成 一 个 接受 任意 长 度 输 
入 的 哈 希 函数 。 通 过 初始 化 向 量 的 补 位 ， 可 以 把 输入 变 成 512 位 比特 的 整数 倍 ， 


截至 目前 ， 我 们 已 经 讨论 了 哈 硕 图 数 、 密 码 学 上 使 用 具备 特性 的 哈 希 函数 、 
特性 的 应 用 ， 以 及 在 比特 币 世 界 中 使 用 的 一 类 特殊 的 喻 希 函 数 。 在 下 面 的 
中 ， 我 们 将 讨论 通过 喻 希 函 数 来 构建 比特 币 网 络 中 的 更 为 复杂 的 数据 结构 。 


这 些 
-二 
前 下 





大 | 哈 希 函 数 建 模 


i 


哈 希 函数 是 密码 学 中 的 瑞士 军刀 : 它们 在 众多 各 具 特 色 的 应 用 中 找到 了 
一 席 之 地 。 这 种 多 功能 性 的 另 一 面 是 ， 为 了 保证 安全 ， 不 同 的 应 用 会 要 求 不 
同 的 哈 希 函 数 特性 。 事 实 已 经 证 明 ， 要 确定 一 系列 哈 希 函数 特性 以 全 面 达成 
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可 证 安全 极度 困难 。 

本 书 中 ， 我 们 会 选 出 在 比特 币 和 其 他 加 密 数 字 货 币 中 ， 对 哈 硕 函数 使 用 
方式 很 重要 的 三 个 特性 。 即 使 在 这 个 范围 内 ， 并 非 所 有 这 些 特性 对 哈 硕 函数 
的 每 一 次 使 用 都 有 必要 。 比 如 ， 我 们 之 后 会 看 到 ， 谜 题 友 好 只 在 比特 币 采 在 
中 具有 重要 性 。 

安全 系统 设计 师 常常 会 放弃 ， 并 且 把 哈 硕 函数 建立 成 对 于 任意 一 个 可 能 
的 输入 ， 都 会 得 到 一 个 独立 的 随机 输出 的 函数 。 这 种 使 用 “随机 预言 模式 
来 证 明 安 全 的 做 法 在 密码 学 中 仍 具 争议 。 不 论 在 这 个 辩论 中 你 的 立场 如 何 ， 
在 建立 安全 系统 时 ， 当 我 们 应 用 哈 希 函数 基本 特性 ， 推 论 如 何 减少 安全 特性 
的 数量 ， 都 是 宝贵 的 智力 训练 。 本 章 的 目的 便 是 帮 你 学 习 这 一 项 技能 。 


12 哈 希 指针 及 数据 结构 


丁 将 讨论 哈 硕 指针 (hash pointer) 及 其 应 用 。 哈 希 指 针 是 一 种 数据 结构 ， 
这 种 数据 结构 在 我 们 即将 讨论 的 很 多 系统 中 都 很 有 有用。 简单 来 说 ， 喻 希 指 针 是 
一 个 指 回 数 据 存储 位 置 及 其 位 置 数 据 的 哈 布 值 的 指针 。 一 个 普通 的 指针 可 以 告 
诉 你 数据 存储 的 位 置 ， 哈 硕 指 针 不 但 可 以 告诉 你 数据 存储 的 位 置 ， 并 且 还 可 以 
给 你 一 种 方式 ， 让 你 验证 数据 没有 被 算 改 过 〈 见 图 1.4)。 


图 1.4 哈 希 指针 
注 : 哈 希 指针 是 一 个 不 但 可 以 指向 数据 存储 的 位 置 ， 还 可 以 明晰 某 个 时 间 戳 下 该 数据 的 哈 希 值 
的 指针 。 
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我 们 可 以 利用 哈 希 指针 构建 各 种 各 样 的 数据 结构 。 为 求 直 观 , 我 们 可 以 把 
原来 用 普通 指针 实现 的 数据 链表 和 二 又 查找 树 通过 哈 布 指针 来 实现 。 


区 块 链 

如 图 1.5 所 示 ， 我们 通过 哈 希 指针 构建 一 个 链表 ， 我 们 将 这 个 数据 结构 称 
为 区 块 链 (block chain ) 。 在 普通 链表 中 有 一 系列 区 块 ， 每 个 a 区 块 既 有 效 据 也 
有 一 个 指向 上 一 个 区 块 的 指针 。 而 在 区 块 链 中 ， 上 一 个 区 块 指 针 被 置换 为 哈 币 
指针 。 因 此 ， 每 个 区 块 不 仅 能 告诉 我 们 上 一 个 区 块 的 值 在 哪里 ， 还 包含 了 该 值 
的 摘要 ， 使 我 们 能 够 验证 那个 值 没 有 改变 。 我 们 存储 链表 头 部 (the head of 
list) ， 即 一 个 普通 的 哈 希 指针 指向 最 近 使 用 的 数据 区 块 。 





H (|) 
之 前 的 哈 希 指针 之 前 的 哈 杭 指针 
H (') i 
数据 数据 数据 
图 1.5 区 块 链 


注 : 通过 险 希 指针 而 不 是 普通 指针 构建 的 一 个 链表 ， 我们 把 这 个 链表 称 为 区 块 链 。 


区 块 链 的 一 个 应 用 就 是 “ 防 自 改 日 志 ”。 也 就 是 说 ,我 们 要 建立 一 个 存储 很 
多 数据 的 日 志 数 据 结构 ,使 我 们 能 将 数据 附加 到 日 志 的 末尾 。 但 是 如 果 有 人 自 
改 日 志 前 面 的 数据 ， 我 们 可 以 检测 到 。 

有 要 理解 区 块 链 如 何 实现 这 一 防臭 改 特性 ， 我 们 先 看 一 下 如 果 对 手 要 算 改 区 
块 链 中 间 的 数据 会 发 生 什 么 。 有 具体 来 说 ， 通 过 这 种 方式 ， 对 手 的 目的 是 让 只 记 
得 区 块 链 头 部 哈 布 指针 的 人 无 法 检测 到 修改 行为 。 为 达到 这 个 目标 ， 对 手 会 改 
变 示 区 块 k 的 数据 。 既 然 数 据 已 经 被 改变 ， 区 块 k +1 的 哈 希 值 ( 即 整个 区 块 k 
的 哈 布 值 ) 将 不 会 匹配 。 记 住 ， 因 为 喻 希 函 数 具 有 碰撞 阻力 ， 我 们 可 以 确定 新 
的 喻 希 值 与 改变 后 的 内 容 不 会 匹配 。 央 此 ， 我们 会 检测 到 区 块 k 中 的 新 数据 以 
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及 区 块 k+1 中 的 哈 希 指针 的 不 一 臻 性。 当然 ， 对 手 可 以 继续 尝试 ， 并 通过 自 改 
下 一 个 区 块 的 哈 希 值 掩盖 这 次 算 改 。 他 可 以 一 直 这 样 做 , 但 是 当 他 到 达 链 表 的 
头 部 时 ， 这 个 策略 将 会 失败 。 有 具体 来 说 ， 只 要 我 们 将 链表 头 部 的 喻 希 指 针 存 储 
在 对 手 无 法 改动 的 地 方 ， 对 手 将 不 能 做 到 在 不 被 检测 到 的 前 提 下 ， 算 改 任何 区 
块 ( 见 图 1.6)。 


了 
之 条 的 哈 怖 指针 之 前 BE 交 指针 之 前 全 妈 丘 指针 
A 数据 数据 


图 1.6 防 自 改 日 志 
注 : 如 果 对 手 修 改 了 区 块 链 中 的 任意 部 位 的 数据 ， 那 么 将 会 导致 下 一 个 数据 块 的 喻 希 指 针 不 正 
确 。 如 果 我 们 锁定 区 块 链 的 头 部 数据 ， 那 么 即使 对 手 修改 了 所 有 哈 希 指针 使 其 与 修改 过 的 
数据 一 致 ， 那 么 他 也 无 法 修改 头 部 数据 ， 从 而 我 们 就 可 以 检测 到 算 改 行为 。 


这 样 做 的 结果 是 ， 如 果 对 手 想 要 自 改 区 块 链 中 任意 地 方 的 数据 ， 为 了 保证 
整个 内 容 一 致 ， 他 需要 复 改 所 有 的 哈 硕 指针 直至 最 开始 的 地 方 。 他 最 终 将 碰 到 
隐 但 ， 因 为 他 不 能 修改 链表 头 部 的 指针 。 这 样 ， 我 们 便 知 道 ， 仅 通过 记 住 一 个 
哈 希 指针 ， 我 们 束 基 本 记 住 了 整个 链表 的 防 算 改 喻 希 值 。 因 此 ， 我 们 可 以 搭建 
一 个 包含 很 多 区 块 的 区 块 链 网 络 ， 链 表 头 部 的 哈 布 指针 被 称 作 创 世 区 块 ( gene- 
sis block ) 。 

你 可 能 已 经 注意 到 了 ， 区 块 链 的 结构 与 我 们 上 一 节 见 到 的 MD 变换 类 似 。 
的 确 ， 它 们 很 相似 ， 同 一 个 安全 论证 对 于 两 者 都 适用 。 


梅 克 尔 树 
另 一 个 我 们 可 以 用 哈 希 指针 建立 的 有 用 的 数据 结构 是 二 叉 树 。 使 用 哈 希 指 
针 的 二 叉 树 也 叫 作 梅 克 尔 树 (Merkle trees )， 以 其 发 明 者 拉 尔 夫 ， 梅 克 尔 
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(Ralph Merkle) 的 名 字 命 名 。 如 图 1.7 所 示 ， 假 设 我 们 有 很 多 包含 数据 的 区 块 ， 
这 些 区 块 就 构成 了 树 的 叶子 〈 节 点 )。 我 们 将 这 些 数据 区 块 两 两 分 组 ， 然 后 为 每 
一 组 建立 一 个 有 两 个 哈 希 指针 的 数据 结构 ， 每 个 指针 对 应 一 个 区 块 ， 这 些 数 据 
结构 就 构成 了 树 的 下 一 个 层次 。 我们 轮流 将 这 些 区 块 组 两 两 分 组 ， 为 每 一 组 建 
etal 以 此 类 推 , 直到 我 们 得 到 一 


J 


Hb H (I)H () 





图 1.7 梅 克 尔 树 
注 : 在 梅 克 尔 树 的 数据 结构 中 ， 所 有 的 数据 区 块 都 被 两 两 分 组 ， 指 向 这 些 数据 区 块 的 指针 被 存 
储 在 上 一 层 的 父 节 点 (parent node) 中 ， 而 这 些 父 节点 再 次 被 两 两 分 组 ， 并 且 指 向 父 节 点 的 
指针 被 存储 在 上 一 层 的 父 节 点 中 ， 一 直 持 续 这 个 过 程 ， 直 到 最 后 我 们 到 达 树 的 根 节点 ， 


如 上 所 述 ， ed a 我 们 现在 可 以 通过 哈 硕 指 
针 回 济 到 列表 中 的 任何 位 置 ， 这 让 我 们 能 保证 数据 确实 未 经 算 改 ， 正 如 我 们 
在 区 块 链 见 过 的 一 样 ， ES 次 二 至上 一 
层 的 哈 布 指针 不 匹配 ， 即 使 他 继续 算 改 这 个 区 块 ， 改 动 数据 行为 将 最 终 传 
递 到 和 树 的 顶 闪 ， 而 此 时 ， 他 将 不 能 自 改 我 们 存储 的 哈 希 指针 。 因 此 ， 同 样 
地 仅仅 通过 记 住 项 部 的 喻 希 指 针 ， 任何 企 图 算 改 任何 数据 的 行为 都 会 被 检 
测 到 。 
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隶属 证 明 
与 我 们 之 前 建立 的 区 块 链 不 同 ， 梅 克 尔 树 的 另 一 个 特点 是 它 可 以 实现 简洁 


的 隶属 证 明 。 假 设 某 人 想 要 证 明 茶 个 数据 区 块 隶 属于 梅 殉 尔 树 。 同 样 地 ， 我 们 
只 记 住 树 根 节点 ,然后 他 南 要 展示 给 我 们 数据 块 信息 ， 以 及 从 该 数据 区 块 通 癌 
树 根 节 点 的 那些 区 块 ， 我 们 可 以 忽略 树 的 其 余部 分 ， 这 样 做 是 因为 这 些 区 块 已 
经 足够 让 我 们 验证 通 往 树 根 节 点 过 程 中 所 有 的 哈 硕 值 。 其 工作 原理 图 解 参 见 
图 1.8.- 





H(/)Ht() 






H()H() 






图 1.8 隶属 证 明 
注 : 为 了 证 明 某 个 数据 区 块 来 自 一 个 悔 克 尔 树 ， 我 们 只 需要 找到 该 数据 区 块 到 树 根 节点 的 路 径 。 


如 末 整 棵 树 上 有 mn 个 节点 ， 只 需要 展示 约 log (n) 个 项 目 ， 因 为 每 个 步 又 
仅 需 要 计算 子 区 块 的 哈 硕 值 ， 验 证 过 程 需要 时 间 约 为 log (n)。 因 此 ， 即 使 梅 克 
尔 树 包 含 大 量 的 区 块 ， 我 们 仍 可 以 在 相对 较 短 时 间 内 证 明 隶 属 关 系 。 因 此 ， 验 
证 需要 人 花 的 时 间 和 涉及 空间 ( 树 节 点 ) 与 log (n) 同 级。 

一 个 排序 梅 殉 尔 树 是 把 底层 的 数据 通过 某 些 排序 得 到 的 梅 克 尔 树 ， 这 里 
排序 规则 可 以 是 字母 表 排 序 、 词 典 排序 、 数 字 化 排序 ， 或 者 其 他 约定 的 排序 
存 鸡 a 
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非 隶 属 证 明 

有 了 排序 梅 克 尔 树 ， 我 们 可 以 在 一 个 对 数 复杂 度 的 条 件 下 验证 某 一 个 数据 
区 块 并 非 来 自 某 梅 克 尔 树 。 也 就 是 说 ， 我们 可 以 证 明 荣 个 特定 区 块 不 属于 梅 元 
尔 树 ， 而 我 们 只 是 简单 通过 展示 被 验证 区 块 之 前 的 区 块 路 径 ， 以 及 被 验证 区 块 
之 后 的 区 块 路 径 ， 就 可 以 达到 日 的 。 如 果 之 前 、 之 后 两 个 区 块 在 树 上 是 连续 的 ， 
那么 这 说 明了 被 验证 区 块 与 该 梅 元 尔 树 之 间 是 非 隶 属 关 系 。 因 为 被 验证 区 块 确 
实 隶 属于 梅 克 尔 树 ， 它 需要 在 两 个 条 目 之 间 ， 而 如 果 两 个 条 目 是 连续 的 话 ， 二 
者 之 间 则 并 没有 空间 。 

我 们 讨论 过 在 链表 及 二 又 树 中 使 用 哈 布 指针 ， 但 更 广泛 地 说 ， 我 们 可 以 在 
任何 以 指针 为 基础 的 数据 结构 中 使 用 哈 硕 指针 ， 条 件 是 数据 结构 不 存在 循环 . 
如 果 数 据 结构 中 存在 循环 ， 那 么 我 们 将 不 能 使 所 有 哈 布 值得 到 匹配 。 想 一 下 ， 


在 一 个 非 循环 的 数据 结构 中 ， 我 们 可 以 在 徘 近 节点 的 地 方 开始 ， 或 者 在 没有 指 
针 的 数据 区 块 开 始 ， 计 算 其 哈 布 值 ， 然 后 从 后 往 前 进行 计算 。 但 是 在 一 个 有 循 
环 结构 的 网 络 中 ， 并 没有 一 个 根 节 点 ， 可 以 让 我 们 去 退 漳 。 


因此 ， 试 想 另 一 个 例子 ， 我 们 可 以 建立 一 个 哈 硕 指针 定 回 的 非 循环 图 。 

我 们 能 够 在 该 图 中 非常 有 效 地 验证 隶属 关系 ， 同 时 也 方便 计算 。 这 样 的 哈 
厦 指 针 使 用 方式 是 一 个 稼 见 技 巧 ， 在 分 布 数 据 结构 中 、 在 本 章 后 面 会 讨论 到 的 
算法 中 以 及 本 书 中 都 会 反复 提 到 。 


1.3 数字 签名 


在 本 六 ,我 们 将 讨论 数字 签名 ( digital signatures ) 。 数 字 签 名 是 密码 学 中 的 
第 二 个 重要 部 分 ， 该 理论 和 哈 硕 图 数 一 起 ， 为 我 们 后 面 讨 论 加 密 货 币 商 定 基础 。 
效 字 签名 被 认为 是 对 纸 上 手 写 签 名 的 数字 模拟 。 我 们 对 数字 签名 有 两 个 特性 要 
求 ， 使 其 与 我 们 对 手写 签名 的 预期 一 致 。 第 一 ， 只 有 你 可 以 制作 你 自己 的 签名 ， 
但 任何 看 到 它 的 人 都 可 以 验证 其 有 效 性 ; 第 二 ,我 们 希望 签名 只 与 某 一 特定 文 
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件 发 生 联 系 ， 因 此 该 签名 不 能 用 于 表明 你 同意 或 支持 男 一 份 不 同 的 文件 。 对 于 
手写 签名 来 说 ， 第 二 条 就 如 同 确保 别人 不 能 将 你 的 签名 从 一 份 文 件 上 剪 下 来 ， 
贴 到 男 一 份 文件 的 末尾 那样 。 

那 我 们 如 何 通 过 密码 学 来 构建 这 些 性 质 呢 ? 首先 ， 让 我 们 把 之 前 的 直观 讨论 
说 得 更 具体 一 些 ， 以 便 今 后 可 以 更 好 地 论证 数字 签名 方案 ， 并 讨论 其 安全 特性 。 


。 (sk, pk) : = generateKeys (keysize) generateKeys 方法 把 keysize 作为 
输入 ， 来 产生 一 对 公 钥 和 私 钥 。 私 钥 sk 被 安全 保存 ， 并 用 来 签名 一 段 消 
息 ; 公 钥 pk 是 人 人 都 可 以 找到 的 ， 拿 到 它 ， 就 可 以 用 来 验证 你 的 签名 。 

e sig: =sign (sk, message) 签名 过 程 是 把 一 段 消息 和 私 钥 作 为 一 个 输入 ， 
对 于 消息 输出 是 签名 

e isValid: = verify (pk, message, sig) 验证 过 程 是 通过 把 一 段 消息 和 签名 
消息 与 公 钥 作为 输入 ， 如 果 返 回 的 结果 是 真 ， 证 明 签 名 属实 ; 如 果 返 回 
的 结果 为 假 ， 证 明 签 名 消息 为 假 。 


我 们 要 求 以 下 两 个 性 质 有 效 : 


e@ 有 效 签 名 可 以 通过 验证 ， 即 : 
verify (pk, message, sign (sk, message)) = =true 


e 签名 不 可 伪造 ， 


我 们 注意 到 generateKeys 和 sign 都 可 以 采用 随机 算法 。 的 确 ，generateKeys 最 

好 是 随机 的 ， 因 为 它 需 要 为 不 同 的 人 生成 不 同 的 密 钥 ， 而 verify 则 需要 是 确定 的 。 

现在 ， 让 我 们 更 详细 地 检验 我 们 要 求 数字 签名 方案 具备 的 两 个 特性 。 第 一 

个 特性 很 直接 ， 那 就 是 有 效 的 签名 必须 通过 验证 。 如 果 我 用 我 的 密 钥 sk 签署 了 

一 条 消息 ， 之 后 有 人 试图 通过 使 用 我 的 公 钥 pk 验证 关于 同一 条 消息 的 签名 ， 该 
签名 必须 证 实 为 正确 。 这 个 特性 是 对 签名 有 效 的 最 基本 要 求 。 
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不 可 伪造 性 。 第 二 个 要 求 计算 上 不 可 能 伪造 签名 。 也 就 是 说 ， 知 道 你 公 甸 
ole 名 的 对 手 ， 不 能 伪造 他 还 未 见 过 的 你 在 其 他 信息 上 的 
签名 。 这 一 不 可 伪造 特性 类 似 于 我 们 与 对 手 之 间 在 进行 一 场 游 戏 ， 游 戏 的 使 用 
an 全 证 明 中 很 常见 

在 不 可 伪造 性 游戏 中 ， 对 手 会 声称 他 可 以 伪造 签名 ， 而 挑战 者 会 测试 他 所 
说 的 话 〈 见 图 1.9)。 我 们 做 的 第 一 件 事 是 使 用 generateKeys 方法 生成 一 个 密 钥 ， 
以 及 相应 的 公共 验证 公 钥 ， 我 们 将 密 钥 交 给 挑战 者 ， 然 后 将 公 钥 交 给 挑战 者 以 
及 对 手 。 因 此 ， 对 手 只 知道 公共 信息 ， 而 他 的 任务 是 试图 伪造 一 条 信息 。 挑 战 
者 知道 密 钥 ， 因 此 他 可 以 签名 


( «sk. pk ) 
pa a 


FE “只 





sign (sk, m,) 4 


verify (pk., M, sig) 


如 果 是 正确 的 ， 黑客 电 得 这 个 游戏 





图 1.9 不 可 伪造 性 游戏 
注 : 不 可 伪造 性 游戏 是 对 手 (黑客 ) 和 挑战 者 一 起 玩 这 样 一 个 游戏 : 如 果 黑 客 可 以 在 一 个 之 前 
没有 见 过 的 销 息 上 进行 签名 ， 那 么 黑客 就 赢得 这 个 游戏 ; 反之 ， 如 果 黑 客 做 不 到 ， 挑 战 者 
就 赢得 游戏 ， 从 而 可 以 证 明 这 个 数字 签名 方案 是 不 可 伪造 的 . 


直观 来 看 ， 这 个 游戏 的 设 定 与 真实 世界 条 件 一 致 ， 现 实 中 的 攻击 者 很 可 能 
可 以 从 潜在 受害 者 的 很 多 不 同文 件 中 看 到 有 效 签名 ， 攻 击 者 甚至 还 可 能 操控 受 
eee 
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不 限时 长 ， 只 要 猜测 的 数量 合 情 。 合 情 猜 测 数 量 的 意思 是 ,我 们 人 允许 攻击 背 答 
试 猜测 的 次 数 高 达 百 万 ， 但 数量 高 达 2 就 不 行 了 。 从 渐进 性 角度 来 说 ， 我 们 爷 
许 攻击 者 多 次 尝试 ， 尝 试 次 数 可 以 是 一 个 密 钥 大 小 的 多 项 式 卫 数 ,但 次 数 不 能 
更 多 (例如 攻击 者 不 能 以 指数 方式 猜测 ). 

一 旦 攻击 者 满意 他 所 看 到 的 签名 数量 ， 那 他 就 可 以 挑选 某 条 信息 M， 蔡 试 
在 上 面 伪造 签名 。 对 M 的 唯一 限制 就 是 ， 它 必须 为 攻击 者 之 前 未 在 之 上 看 过 签 
名 的 信息 (因为 很 明显 ， 攻 击 者 可 以 发 出 他 收 到 过 的 签名 )。 挑 战 者 运行 验证 算 
法 ， 以 此 确定 攻击 者 生成 的 关于 M 信息 签名 在 经 过 公共 验证 密 钥 验证 后 ， 是 否 
属实 。 如 果 验 证 成 功 ， 攻 击 者 万 得 游戏 。 

不 论 对 手 使 用 什么 算法 ， 我 们 说 签名 方案 不 可 伪造 ， 当 且 仪 当 他 成 功 伪 造 
言 息 的 机 会 非常 小 一 一 小 到 我 们 可 以 假设 在 实践 中 从 不 会 发 生 。 





实践 中 的 考量 

要 将 算法 概念 转化 为 现实 中 可 执行 的 数字 签名 机 制 ， 我 们 还 需要 考虑 许多 
实际 问题 。 例 如 ， 很 多 签名 算法 是 随机 的 (特别 是 比特 币 使 用 的 算法 )， 因 此 我 
们 需要 随机 性 的 良好 来 源 。 我 们 不 能 低估 这 一 点 的 重要 性 ， 因 为 不 良 随 机 性 会 
使 你 认为 安全 的 算法 变 得 不 安全 。 

另 一 个 实际 问题 是 关于 信息 大 小 。 在 实践 中 ， 你 能 够 签署 的 信息 大 小 是 有 
限制 的 ， 因 为 真实 的 方案 将 在 位 数 长 度 有 所 限制 的 字符 串 中 运行 。 有 一 个 简单 
的 方法 可 以 解决 这 个 限制 : 对 信息 的 哈 希 值 进行 签署 ， 而 非 对 信息 本 身 进行 签 
署 。 如 果 我 们 使 用 输出 值 为 256 位 的 加 密 的 哈 希 函数 ， 那 么 我 们 可 以 有 效 地 签 
署 任何 长 度 的 信息 ， 只 要 我 们 的 签名 方案 能 够 签署 256 位 的 信息 。 如 上 所 述 ， 
我 们 可 以 将 信息 的 哈 希 值 作为 信息 摘要 ， 哈 希 函 数 具有 碰撞 阻力 ， 因 此 这 种 方 
式 是 安全 的 。 

我 们 后 面 会 用 到 的 另 一 个 技巧 是 ， 可 以 对 于 哈 希 指针 进行 签署 。 如 果 你 答 
署 了 哈 希 指针 ， 那 么 该 签名 覆盖 (或 者 说 保护 ) 整个 结构 一 “这 不 仅仅 是 哈 希 
指针 本 身 ， 还 包括 哈 希 指针 指向 的 整个 区 块 链 。 比 如 ， 如 果 签 署 了 区 块 链 未 尾 
的 哈 希 指针 ， 其 结果 就 是 你 有 效 地 数字 签署 了 整 条 区 块 链 。 
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椭圆 曲线 数字 签名 算法 

现在 让 我 们 来 看 一 下 具体 的 细节 。 上 比特 币 使 用 的 数字 签名 方案 叫 作 椭圆 曲 
线 数字 签名 算法 (ECDSA ) 。ECDSA 为 美国 政府 的 标准 ， 是 早 前 DSAV 算法 利 
用 了 椭圆 曲线 的 升级 版 。 这 些 算法 经 过 了 数 年 的 细致 密码 分 析 ， 且 被 普 衣 认为 
是 安全 的 。 

更 具体 地 说 ， 比 特 币 使 用 ECDSA 算法 ， 而 不 是 标准 椭圆 曲线 “ secp256k1” 
[ 预计 提供 128 位 安全 保障 ， 即 打破 这 个 算法 的 难度 与 执行 2 ”对称 性 密 钥 运算 
(如 破解 哈 希 函数 ) 一 样 困 难 ] ,虽然 这 个 曲线 是 公开 标准 ,但 除 比 特 币 以 外 鲜 
有 使 用 ， 其 他 使 用 ECDSA 的 应 用 (如 安全 网 络 浏 览 时 的 TLS% 密 钥 交 换 ) 通 第 
都 使 用 更 常见 的 “secp256k1” 曲 线 。 这 就 是 比特 币 的 一 个 古怪 之 处 ， 因 为 在 比 
特 币 系统 早期 实施 中 被 中 本 陪 选 定 ( 参 见 原版 前 言 )， 现 在 已 很 难 改 变 。 

我 们 不 会 详细 地 讨论 ECDSA 的 原理 ， 因 为 这 涉及 一 些 过 于 复杂 的 数学 知 
识 ， 且 对 于 本 书 的 其 他 内 容 没 有 太 多 帮助 。 如 果 你 对 ECDSA 感 兴 趣 ， 请 参见 本 
章 末尾 延伸 阅读 部 分 。 虽 然 我 们 这 么 说 ， 但 对 于 了 解 各 种 参数 也 许 会 很 有 必要 : 


个 人 密 钥 : 256 位 
公 钥 (未 压缩 ) : 512 位 
公 钥 (压缩 ) : 257 位 
待 签名 信息 : 256 位 
签名 : $12 位 
注意 ， 严 格 来 讲 ， 虽然 ECDSA 只 能 签署 256 位 的 信息 ， 但 这 存在 问题 ， 
为 信息 在 签署 之 前 总 是 已 经 经 过 哈 希 压缩 ， 因 此 ， 任 何 大 小 的 信 ， ope 
签署 。 
使 用 ECDSA 时 ， 确 保 随 机 性 良好 来 源 至 关 重 要 ， 因 为 不 良 来 源 将 可 能 导致 


DD DSA (Digital Signature Algorilhm) ， 电 子 签名 算法 ， 一 一 译 者 注 
DTLS (Transport Layer Security) ， 传 输 层 安全 协议 ， 用 于 在 两 个 通信 应 用 程序 之 间 提 供 保密 性 和 数 
据 完 整 性 - 一 一 译 者 注 
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密 钥 信息 的 泄露 。 这 一 点 不 难 理解 ， 如 果 你 使 用 了 不 良 随 机 来 生成 密 钥 ， 那 么 
该 窗 钥 就 可 能 不 安全 。 但 是 ECDSA 的 古怪 就 在 于 ， 即 使 你 仅仅 只 是 在 生成 签名 
时 使 用 了 不 良 随 机 ， 而 你 使 用 的 密 钥 完美 无 缺 ， 你 的 个 人 密 钥 还 是 有 可 能 泄露 
(熟悉 DSA 的 人 都 知道 这 是 DSA 的 古怪 之 处 , 但 并 不 针对 椭圆 曲线 ) 。 接 着 游戏 
就 结束 了 ， 如 果 你 的 个 人 密 钥 泄露 ， 对 手 就 可 以 伪造 你 的 签名 。 因 此 ， 我们 在 
实践 中 要 特别 注意 使 用 良好 随机 来 源 ， 使 用 不 良 随机 来 源 是 安全 系统 的 一 个 常 
见 缺陷 。 

数字 签名 作为 密码 学 基础 ， 我 们 对 其 讨论 就 此 结束 。 在 下 一 节 ， 我们 将 讨 
论 对 打造 加 密 货 币 会 带 来 帮助 的 一 些 数字 签名 应 用 。 





如 果 你 一 直 在 期 待 比特 币 使 用 的 加 密 算法 ， 我 们 可 能 会 让 你 失望 了 ， 比 
特 币 并 没有 使 用 任何 加 密 术 ， 因 为 并 没有 加 密 的 需要 。 加 密 术 只 是 因为 现代 
密码 学 而 变 得 可 能 成 为 众多 技术 中 的 一 个 ， 很 多 技术 ( 如 承诺 方案 ) 在 某 种 
程度 上 隐藏 信息 ， 但 是 与 加 密 术 有 所 不 同 。 


1.4 公 钥 即 身份 


让 我 们 来 看 一 下 与 数字 签名 并 行 的 一 个 有 用 技巧 ， 基 本 想法 是 从 数字 签名 
模式 中 拿 出 一 个 公共 验证 密 钥 ， 并 将 其 与 一 个 人 或 一 个 系统 参与 者 的 身份 对 等 。 
如 采 你 见 到 一 条 消息 的 签名 被 公 钥 pk 正确 验证 ， 那 么 你 可 以 认为 pk 就 是 在 表 
达 这 条 消 县 。 你 真 的 可 以 将 公 钥 认为 是 参与 者 或 者 系统 的 一 方 ， 他 可 以 通过 签 
RE 
， 他 必须 知道 相应 的 密 钥 sk 。 

将 公 钥 视 为 身份 的 一 个 结果 是 ， 你 可 以 随时 制定 新 的 身份 


， 让 条 人 能 为 pk 身份 发 





你 可 以 简单 
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通过 数字 签名 方案 中 的 generateKeys 程序 ， 生 成 新 的 密 钥 对 sk 和 pk。pk 是 你 可 
以 使 用 的 新 的 公共 身份 ，sk 是 相应 的 密 钥 ， 只 有 你 自己 知道 并 可 以 让 你 代表 号 份 
为 pk 发 声 。 在 实践 中 ， 你 可 能 会 使 用 pk 的 哈 布 作 为 你 的 号 份 ， 这 是 因为 公 钥 很 
大 。 如 果 是 这 样 的 话 ， 为 了 验证 消息 来 自 你 的 身份 ， 人 们 会 需要 验证 : (1) 你 的 
身份 确实 是 pk 的 哈 希 ; (2) 信息 能 经 过 公 钥 pk 验证 。 

此 外 ， 在 默认 情况 下 ， 你 的 公 钥 pk 基本 上 看 起 来 是 随机 的 ， 也 并 没有 人 能 
够 通过 检查 pk 发 现 你 的 现实 喘 份 ( 当然 , 一旦 你 开始 使 用 这 个 喘 份 发 表 声 明 ， 
这 些 声明 可 能 泄露 信息 ， 而 让 别人 将 你 的 真实 身份 与 pk 联系 起 来 。 我 们 很 快 会 
更 详细 地 讨论 这 个 问题 ) 。 你 可 以 生成 一 个 看 起 来 随机 的 新 身份 ， 看 起 来 像 人 群 
中 的 一 张 脸 ， 但 这 些 都 上 共有 你 能 够 控制 。 


去 中 心 化 身份 管理 

公 钥 和 私 钥 的 体系 ， 帮 助 我 们 引入 去 中 心 化 的 身份 管理 的 理念 。 你 可 以 自 
己 作 为 用 户 注册 ， 而 无 须 到 一 个 中 央 机 构 注 册 为 系统 用 户 。 你 不 需要 别人 给 你 
一 个 用 户 名 ， 你 也 不 需要 告诉 任何 人 你 会 使 用 什么 名 字 。 如 果 你 想 要 新 的 身份 ， 
可 以 随时 生成 一 个 ， 而 且 想 要 多 少 就 生成 多 少 。 如 来 你 希望 拥有 五 个 不 同 的 名 
字 ， 没 有 问题 ! 那 就 生成 五 个 身份 。 如 果 你 想 匿 名 一 阵子 ， 你 可 以 生成 一 个 新 
的 身份 ， 使 用 一 段 时 间 ， 然 后 痉 之 不 用 。 有 了 去 中 心 化 身份 管理 ， 所 有 这 一 切 
都 变 得 可 能 。 事 实 上 ， 这 就 是 比特 币 对 竺 身份 的 方式 。 这 些 身份 在 比特 币 语言 
中 被 称 为 地 址 。 你 可 以 第 第 听 到 地 址 这 个 词 ， 用 于 比特 币 或 加 密 货 币 相 关 的 内 
容 中 ， 而 地 址 其 实 就 是 公 钥 的 哈 希 值 。 作 为 去 中 心 化 身份 管理 方案 的 一 部 分 ， 
它 束 是 条 人 凭空 捏造 的 一 个 身份 而 已 。 


和 33 安全 性 与 随机 性 


你 可 以 不 经 过 中 央 机 构 而 生成 一 个 身份 的 概念 可 能 看 起 来 有 悖 常理 。 毕 
竟 ， 如 果 有 人 刚好 就 生成 了 跟 你 一 样 的 密 钥 ， 他 不 就 能 偷 走 你 的 比特 币 吗 ? 
我 们 给 你 的 回答 是 ， 别 人 生成 一 个 与 你 的 相同 256 位 密 钥 的 概率 如 此 之 
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小 ， 在 实践 中 ， 我 们 不 需要 担心 它 会 发 生 。 总 而 言 之 ， 我 们 保证 这 种 情况 绝 
不 会 发 生 。 

一 般 来 说 ， 与 新 手 的 直觉 不 同 的 是 ， 概 率 系统 是 不 可 预测 且 难 以 推理 的 ， 
反面 的 常常 是 真 的 一 一 统计 学 理论 使 得 我 们 可 以 精确 地 量化 我 们 感 兴 趣 的 事 
件 的 概率 ， 并 对 该 系统 行为 做 出 自信 的 推论 。 

但 还 有 一 个 精妙 之 处 : 概率 保 证 只 有 在 密 钥 为 随机 产生 时 为 真 。 在 现实 
系统 中 ， 随 机 的 生成 常常 是 薄弱 环节 、。 如 果 两 个 用 户 的 电脑 使 用 同样 的 随机 
来 源 或 者 使 用 可 预测 的 随机 ， 那 么 理论 保证 不 再 适用 。 所 以 ， 在 生成 密 钥 时 
使 用 良好 随机 源 至 关 重 要 ， 以 确保 实践 保证 与 理论 保证 相符 。 


乍 一 看 ， 去 中 心 化 身份 管理 可 能 极 具 匿名 性 及 隐秘 性 。 毕 竟 ， 你 可 以 自己 
创建 一 个 看 起 来 很 随机 的 身份 ， 同 时 也 不 用 告诉 任何 人 你 的 员 实 身份 是 什么 。 
但 事实 并 不 是 这 么 简单 ， 随 着 时 间 的 推移 ， 你 创建 的 号 份 会 做 出 一 系列 的 声明 。 
人 们 看 到 这 些 声明 便 知 道 拥 有 这 个 身份 的 人 做 出 了 特定 的 一 系列 行为 。 他 们 能 
够 开始 将 细 证 联系 起 来 ， 从 这 一 系列 的 行为 推断 出 你 的 真实 映 份 。 随 着 时 间 的 
推移 ， 一 个 观察 者 可 以 将 这 些 事 情 联 系 起 来 ， 并 推断 出 这 样 的 结论 :“ 天 ， 这 个 
人 的 行为 好 像 草 (Joe)， 可 能 这 个 人 就 是 齐 。” 

换 名 话说， 在 比特 币 系 统 中 ， 你 不 需要 明确 地 注册 或 揭露 你 的 真实 身份 ， 
但 是 你 的 行为 模式 本 号 可 能 是 可 识别 的 。 这 就 是 比特 币 等 加 密 货 币 的 基本 隐秘 
性 问题 ， 我 们 将 会 在 第 6 章 专 门 讨论 这 个 问题 。 


1.5 两 种 简单 的 加 密 货 币 


现在 ,让 我 们 从 密码 术 过 渡 到 加 密 货币 。 我 们 之 前 的 密码 术 干 货 在 这 里 就 
要 开始 发 挥 作用 了 ,今后 我 们 会 逐渐 看 到 各 部 分 之 间 如 何 相互 联系 ， 也 会 发 现 
哈 希 晴 数 和 数字 签名 等 密码 程序 的 意义 。 在 本 节 ， 我们 将 讨论 两 种 很 简单 的 加 
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密 货币 。 当 然 ， 我 们 也 需要 学 习 本 书后 面 大 量 的 内 容 ， 才 能 深刻 曾 释 比特 币 本 
导 的 运作 机 制 。 


局 飞 和 

第 一 个 是 高 飞 币 (GoofyCoin， 此 币 的 创造 者 叫 高 飞 )， 它 应 该 是 我 们 能 想到 
的 最 简单 的 加 密 货 币 。 高 飞 币 只 有 两 个 规则 ， 第 一 个 规则 是 指定 高 飞 可 以 随时 
创建 新 币 ， 且 这 些 新 创建 的 币 都 属于 他 。 

为 创建 新 币 ， 高 飞 生 成 一 个 他 之 前 从 未 生成 的 唯一 的 货币 编号 〈unique- 
CoinID ) ， 并 建立 字符 串 “CreateCoin [ uniqueCoinID j"。 然后， 他 使 用 秘密 签署 
密 钥 计算 这 个 字符 串 的 数字 签名 ， 该 字符 串 与 高 飞 的 签名 就 构成 一 单位 币 。 任 
何人 都 可 以 验证 该 新 币 包 含 高 飞 有 效 签名 ， 因 此 该 新 币 为 有 效 币 。 

高 飞 币 的 第 二 个 规则 是 ， 拥 有 此 币 的 人 可 以 将 其 转 给 其 他 人 。 转 移 一 只 币 
不 是 简单 地 将 币 数 据 结构 发 送 给 接受 者 ， 而 是 必须 通过 密码 程序 来 完成 。 

假设 高 飞 想 把 他 创建 的 一 只 币 转 给 爱丽 丝 。 未 达成 这 个 目的 ， 他 需要 创 
建 一 个 新 的 声明 表示 “将 此 币 文 付 给 爱丽 丝 ”， 在 此 声明 中 “此 币 ” 就 是 该 
币 的 哈 硕 指 针 。 如 上 所 述 ， 吴 份 其 实 就 是 公 钥 ， 因 此 “爱丽 丝 ” 指 的 就 是 爱 
丽 丝 的 公 钥 。 最 后 ， 高 飞 签署 代表 该 声明 的 字符 串 。 因 为 高 飞 是 起 初 拥有 该 
币 的 人 ， 他 必须 签署 花 掉 该 币 的 任何 交易 。 一 旦 由 高 飞 签署 的 代表 他 的 交易 
的 这 个 数据 结构 存在 ， 爱 丽 丝 便 拥有 这 个 币 。 她 可 以 向 任何 人 证 明 她 拥有 这 
个 币 ， 因 为 她 可 以 展示 有 高 飞 有 效 签 名 的 数据 结构 。 此 外 ， 它 也 指向 曾经 为 
高 飞 所 有 的 一 个 有 效 币 。 因 此 ,该 币 的 有 效 性 及 所 有 权 在 系统 中 就 不 言 自 
明了 。 

一 旦 爱丽 丝 拥有 了 这 个 币 ， 她 也 可 以 花 掉 它 。 为 达到 这 个 目的 ， 她 创建 了 
一 个 声明 表示 “将 这 个 币 付 给 鲍 勃 的 公 钥 ”， 此 时 “这 个 币 ” 就 是 她 所 有 的 那 
个 币 的 哈 布 指针 。 当 然 ， 爱 丽 丝 要 签署 该 声明 。 任 何 看 到 这 个 币 的 人 都 可 以 验 
证 鲍 艺 是 其 所 有 人 。 他 们 可 以 根据 哈 希 指针 链 追 溯 到 该 币 的 创建 及 验证 每 一 个 
步 对 ， 这 就 是 其 合法 所 有 人 签署 了 一 份 声明 表示 “将 这 个 币 支付 给 [新 的 所 有 
人 ]”, 详 见 图 1. 10。 
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爱丽 丝 用 私 钥 签名 


支付 给 鲍 勃 的 公 钥 的 哈 希 指针 


高 飞 用 私 钥 签名 
支付 给 爱丽 丝 的 公 铀 的 哈 希 指针 


高 飞 用 私 钥 签名 
造 币 [uniqueCoinID ] 


图 1.10 高 飞 币 交易 
注 : 该 图 示例 了 货币 创造 的 过 程 和 被 花费 过 两 次 的 过 程 













总 结 一 下 ， 高 飞 币 的 规则 是 : 


。 高 飞 可 以 通过 签署 声明 表示 他 使 用 唯一 的 货币 编号 来 创建 一 个 新 币 。 

。 币 的 所 有 人 可 以 通过 签署 声明 表示 “将 这 个 币 转 给 X” (其 中 X 为 公 
钥 )， 将 其 转 给 另 一 个 人 

。 任 何人 都 可 以 验证 一 只 币 的 有 效 性 ， 跟 随 哈 希 指针 追溯 到 它 是 由 高 飞 创 
建 ， 并 验证 过 程 中 所 有 签名 。 


当然 ， 高 飞 币 有 一 个 致命 安全 隐患 。 假 设 爱丽 丝 通过 把 她 签署 的 声明 发 送 
给 鲍 动 ， 即 将 她 的 币 转 给 鲍 动 ,但 并 没有 告 十 其 他 人 。 她 也 可 以 创建 男 一 个 签 
名 ， 声 明 将 同样 一 只 币 转 给 了 查 克 (Chuck) ， 对 于 查 克 来 说 ， 这 看 起 来 是 一 个 
完全 有 效 的 交易 ， 而 他 是 该 币 的 所 有 人 。 鲍 邦和 查 克 似乎 都 可 以 有 效 表 示 自 己 
是 那个 币 的 所 有 人 -这 个 就 是 所 谓 的 双重 支付 (double spending) 一 一 爱丽 丝 将 
同样 一 只 币 花 了 两 次 。 我 们 一 看 就 知道 货币 是 不 能 这 样 花 的 。 

事实 上 ， 双 重文 付 是 任何 加 密 货币 需要 解决 的 主要 问题 之 一 ， 高 飞 币 没有 
解决 这 一 问题 ， 因 此 不 安全 。 

启 飞 币 很 简单 ， 其 货币 转移 机 制 其 实 与 比特 币 非常 相似 , 但 是 因为 它 并 不 
安全 ， 因 此 并 不 适合 作为 加 密 货币 。 
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C 


财 奴 币 

为 解决 双重 支付 问题 ， 我 们 会 涉及 男 外 一 个 加 密 货币 ， 我们 将 其 称 为 财 奴 
币 (ScroogeCoin)。 财 奴 币 是 以 高 飞 币 为 基础 创建 的 ,但 在 数据 结构 方面 更 
复杂 。 

第 一 个 主要 概念 如 下 : 一 个 叫 财 奴 的 指定 实体 将 负责 公布 包含 所 有 发 生 过 
的 交易 历史 记录 的 仅 增 账目 (append-only ledger) ， 账 目的 仅 增 特 性 保证 了 与 人 
这 个 账目 的 任何 数据 都 会 永久 保留 下 来 。 如 果 账 目 真 的 为 仅 增 ， 通 过 要 求 所 有 
的 交易 在 被 接收 前 都 写 入 项 日 ， 我们 可 以 用 其 防止 双重 支付 的 发 生 。 这 样 ， 如 
果 之 前 币 已 经 转 给 了 一 个 不 同 的 所 有 者 ， 大 家 都 可 以 看 到 。 

为 执行 这 个 仅 增 功能 ， 财 奴 可 以 建立 一 个 区 块 链 (我们 之 前 已 经 讨论 过 其 
数据 结构 )， 对 于 区 块 链 ， 财 妈 要 进行 数字 签名 ， 因 此 ， 这 从 而 就 形成 了 一 系列 
数据 块 ， 每 个 数据 块 都 包含 一 次 交易 (在 实践 中 ,一 种 优化 的 做 法 是 将 多 次 交 
易 放 入 同一 个 区 块 中 ， 比 特 币 就 是 这 样 做 的 ) ， 每 个 区 块 包 含 交 易 的 ID、 交 易 的 
内 容 ， 以 及 上 一 个 区 块 的 哈 布 指针 。 财 奴 数 字 签 名 是 针对 最 后 一 个 哈 硕 指针 
( 它 约束 整个 结构 中 所 有 的 数据 )， 并 将 签名 与 区 块 链 一 起 发 布 ， 见 图 1. 11。 


A 


















之 前 的 哈 希 指针 
HC) 


某 一 笔 
交易 


之 前 的 蛤 而 指针 
H(') 


某 一 笔 
交易 


之 前 的 哈 硕 指针 
H(') 


某 一 笔 
交易 

















图 1.11 财 奴 币 系 统 中 的 区 块 链 


在 财 奴 币 中 ， 只 有 在 由 财 奴 签名 的 区 块 链 的 交易 才 算 数 。 任 何人 都 可 以 通 
过 核查 财 奴 在 区 块 中 的 签名 来 验证 交易 是 否 经 过 财 奴 的 支持 ， 财 奴 会 确保 不 会 
文 持 企 图 双重 文 付 ， 也 就 是 不 会 支持 已 经 支付 过 的 币 的 交易 。 
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为 什么 除了 让 财 奴 签署 每 个 区 块 ， 我 们 还 需要 一 个 带 哈 希 指 针 的 区 块 链 ? 
这 样 做 是 保证 仅 增 特 性 。 因 为 财 奴 有 可 能 试图 增加 或 移 除 交易 记录 ， 或 者 改变 
已 有 交易 ， 而 一 旦 有 了 哈 希 指针 ， 将 会 影响 到 后 面 所 有 的 区 块 。 只 要 有 人 监督 
财 奴 发 布 的 最 新 哈 希 指针 ， 变 化 会 很 明显 ， 并 可 以 被 轻易 发 现 。 在 一 个 财 妈 分 
别 签署 不 同 区 块 的 系统 中 ， 你 需要 记录 他 签署 的 每 一 个 签名 。 采 用 区 块 链 ， 两 
个 不 同 的 人 可 以 轻易 验证 他 们 确实 观察 到 了 同样 的 ， 由 财 奴 签 蓝 的 区 易 记 录 。 

财 奴 币 中 有 两 种 交易 。 第 一 种 是 造 币 ( CreateCoins)， 类 似 于 在 高 飞 币 中 ， 
高 飞 可 以 创建 新 币 的 程序 ， 而 财 奴 将 其 进行 了 扩展 ， 那 束 是 可 以 在 一 次 交 匈 中 
创建 多 个 币 量 ， 见 图 1. 12。 


虚拟 货币 ID 73 (0 ) 
虚拟 货币 ID 73 ( 1 ) 
虚拟 货币 ID 73 (2 ) 





图 1.12 造 币 交易 
注 : 造 币 交易 创造 多 个 货币 。 每 一 个 货币 在 交易 中 都 有 一 个 序号 。 其 次 ， 每 一 个 货币 也 有 一 定 
的 数量 ， 来 对 应 某 个 数目 的 财 奴 币 。 最 后 ， 每 一 个 货币 还 有 一 个 造 币 记录 ， 在 货币 被 制造 
出 来 的 时 候 对 应 的 公 钥 。 因 此 ， 造 币 交 易 创 造 了 多 个 不 同 数量 和 归属 于 不 同 拥有 者 的 新 货 
币 。 我 们 将 这 些 赁 币 称 为 虚拟 货币 ID ， 指 的 是 该 次 交易 中 交易 ID 和 货币 序号 的 组 合 。 


造 币 交易 如 条 是 由 财 奴 签署 ， 从 定义 上 说 它 总 是 有 效 的 。 我 们 不 会 担心 财 
奴 什 么 时 候 有 权 创 建新 币 或 者 可 以 创建 多 少 ， 正 如 我 们 不 担心 在 高 飞 币 中 ， 高 
飞 可 以 创建 新 币 那样 。 

第 二 种 交易 是 付 币 〈PayCoins) 。 这 一 交易 会 消耗 币 ， 就 是 说 消除 它们 ， 并 
创建 具有 相同 总 值 的 新 币 。 新 币 可 能 属于 不 同 的 人 【〈 公 钥 ) ， 这 一 交易 必须 由 每 
一 个 支付 该 币 的 人 来 进行 签署 。 因 此 ， 如 果 你 是 本 次 交易 中 将 会 消耗 的 某 只 FT 
的 所 有 有人， 那么 你 就 需要 数字 签 普 该 交易 ， 表 明 你 同意 花 掉 这 只 币 。 

财 奴 币 的 规则 曾 明 ， 如 果 以 下 四 个 条 件 为 真 ， 付 币 交 易 有 效 : 
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被 消耗 的 币 为 有 效 货币 ， 即 它们 是 在 之 前 的 交易 中 创建 的 。 

被 消耗 的 币 没有 在 之 前 的 某 交 易 中 锌 消耗 挥 。 就 是 说 ， 本 次 交易 不 是 双 

重文 出 

。 本 次 交易 产生 的 币值 量 等 于 消耗 的 币值 量 ， 也 就 是 说 ， 只 有 财 妈 才 可 以 
创建 新 币 。 

。 本 次 交易 被 消耗 的 所 有 币 均 有 其 所 有 者 的 有 效 签 普 。 


交易 ID: 73 类 型 : 付 币 


消耗 的 虚拟 货币 ID 
68 (1), 42 (0), 72 (3) 


被 创造 的 赁 币 





图 1.13 付 币 交易 


如 果 所 有 条 件 都 满足 ， 那 么 付 币 交易 有 效 ， 并 且 财 奴 会 接受 交易 ( 见 图 1. 13)， 
他 会 通过 将 其 附加 到 区 块 链 上 ， 将 交易 写 入 历史 记录 。 之 后 ， 每 个 人 都 可 以 看 
见 获 多 发 生 了 。 只 有 在 这 时 ， 参 与 者 才 可 以 接受 交易 实际 发 生 了 。 直 至 发 布 之 
前 ， 它 部 可 能 是 一 个 被 双重 支付 抢占 的 交易 ， 即 使 前 三 个 条 件 都 被 满足 。 

这 个 系统 中 的 货币 是 不 可 变 的 一 一 它们 不 会 被 改变 、 细 分 或 者 联合 。 每 个 
币 都 在 一 次 交易 中 被 创建 一 次 ， 然 后 在 之 后 的 其 他 交易 中 被 消耗 。 但 是 我 们 可 
以 通过 交易 对 货币 进行 细 分 或 联合 ,来 实现 相同 的 效果 。 例 如 ， 为 了 细 分 一 只 
币 ， 爱 丽 丝 创建 了 消耗 该 币 的 新 交易 ， 然 后 生成 了 两 个 具有 同样 总 值 的 新 币 ， 
这 两 个 新 币 可 以 再 次 分 配给 她 。 因此， 虽然 在 本 系统 中 币 是 不 可 变 的 ， 但 是 它 
上 有 具有 除了 可 变 币 以 外 的 系统 的 所 有 灵活 性 。 

现在 ， 我 们 来 看 一 下 财 奴 币 的 核心 问题 ， 财 奴 币 的 工作 原理 是 人 们 可 以 看 
见 哪些 币 是 有 效 的 。 它 防止 双重 支付 ， 因 为 每 个 人 都 可 以 查看 区 块 链 ， 看 到 所 
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有 交易 都 是 有 效 的 ， 每 一 只 币 确实 都 只 被 消耗 了 一 次 ， 但 其 问题 是 ， 财 奴 的 权 
利 太 大 了 。 他 虽然 不 能 创建 虚假 交易 ， 因 为 他 无 法 伪造 其 他 人 的 签名 ， 但 是 他 
可 以 停止 支持 其 他 用 户 的 交易 ,不 为 他 们 提供 服务 并 让 他 们 的 货币 无 处 可 花 。 
如 果 财 奴 是 贪 焚 的 〈 正 如 与 他 同名 的 卡通 形象 一 样 ) ， 他 可 以 拒绝 公开 交易 ， 除 
非 其 他 人 向 他 支付 强制 性 交易 费 。 当 然 了 ， 财 奴 还 可 以 想 要 多 少 币 ， 就 给 他 自 
己 创 建 多 少 。 或 者 财 奴 也 可 能 厌倦 整个 系统 ， 因 此 完全 停止 更 新 区 块 链 。 

这 里 的 问题 就 是 中 心 化 。 虽 然 财 奴 本 身 满 意 这 个 系统 ， 我 们 用 户 可 能 会 不 
满意 。 财 奴 币 虽 然 看 似 是 一 个 不 切实 际 的 方案 ， 但 是 在 很 多 早期 的 密码 系统 研 
中 ， 确 实 假设 过 一 些 中 央 可 信 机 构 ， 还 特别 被 称 为 银行 。 毕 竟 ， 绝 大 多 数 现 
奖 世 界 货币 的 确 有 可 信 发 行人 (通常 为 政府 造 币 厂 ) 负责 创建 货币 ， 并 决定 哪 
些 钱币 为 有 效 货 币 。 但 是 ， 具 有 中 央 机 构 的 加 密 货 币 纷纷 在 实践 中 失败 。 原 因 
有 很 多 ， 回 头 来 看 ， 我 们 似乎 很 难 让 人 们 接受 有 中 央 机 构 的 加 密 货币 这 个 事物 。 

因此 ， 为 改善 财 奴 币 ， 并 建立 一 个 可 行 系统 ,我 们 需要 解决 的 主要 技术 问 
题 是 : 我 们 是 否 能 让 系统 “去 财 奴 化 ”? 也 就 是 说 ,我们 是 否 能 放弃 中 心 化 的 财 
奴 人 物 ? 我 们 能 够 有 一 个 在 很 多 方面 像 财 奴 币 一 样 运作 的 加 密 货币 ,但 没有 中 
央 信 任 机 构 吗 ? 

为 回答 这 些 问 题 ， 我们 需要 解决 所 有 用 户 如 何在 交易 历史 记录 发 生 后 ， 一 
致 同意 采用 一 个 公开 区 块 链 ， 他 们 必须 一 致 同意 哪些 交易 有 效 、 哪 些 交易 是 实 
际 发 生 了 。 他 们 还 需要 能 够 用 一 种 去 中 心 化 的 方式 分 配 ID。 最 后 ， 新 币 的 铸造 
也 需要 通过 去 中 心 化 的 方式 进行 掌控 。 如 果 我 们 可 以 解决 所 有 这 些 问题 ， 那 么 
我 们 可 以 创建 一 个 如 同 财 奴 币 那样 的 货币 ， 但 确实 没有 中 心 化 的 机 构 。 实 际 上 ， 
这 样 的 一 个 系统 就 与 比特 币 非常 相像 了 。 


ot 


闪 


延伸 阅 庄 


史 带 分 ， 列 维 (Steven Levy) 的 《密码 术 》， 从 一 个 令 人 愉悦 的 、 非 技术 的 
角度 看 每 现代 密码 术 的 发 展 ， 及 其 背后 的 人 和 事 : 


Levy, Steven. Crypto: How the Code Rebels Beat the Government—Saving Privacy 
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in the Digital Age. London: Penguin, 2001. 


现在 密码 术 还 是 一 个 较为 理论 化 的 领域 ,密码 学 者 使 用 数学 以 一 种 较为 正 


规 的 方式 定义 其 基础 知识 、 协 议 以 及 其 他 被 用 户 期 望 的 安全 特性 ， 并 根据 关于 
特定 数学 问题 的 计算 复杂 性 中 被 广泛 接受 的 假设 ,来 证 明 它 们 的 安全 性 。 本 章 
我 们 使 用 到 了 直觉 语言 来 讨论 哈 硕 困 数 及 数字 签名 。 对 于 有 兴趣 用 更 为 广 格 的 
数学 的 方式 ， 以 及 想 更 深入 探索 这 些 概念 及 其 他 密码 学 理论 的 读者 ， 我 们 推荐 


你 阅读 : 


Katz, Jonathan, and Yehuda Lindell. Iniroduction to Modern Cryptography, sec- 
ond edition. Boca Raton, FL.:. CRC Press, 2014. 


对 于 应 用 密码 学 概述 ， 参 见 : 

Ferguson, Niels, Bruce Schneier, and Tadayoshi Kohno. Cryptography Engineer- 
ing: Desien Principles and Practical Applications. Hoboken, NJ: John Wiley & 
Sons, 2012. 


精读 定义 SHA -256 的 NIST 标准 是 了 解密 码 学 标准 的 有 效 方式 : 

NIST. “Secure Hash Standards ，Federal Information Processing Standards Publi- 
cation. ” FIPS PUB 180-4. Information Technology Laboratory, NIST, Gaithers- 
burg, MD, 2008. 


最 后 ， 请 参考 讨论 ECDSA 签名 算法 标准 化 版 本 的 论文 : 
Johnson, Don, Alfred Menezes and Scott Vanstone. “The Elliptic Curve Digital 
Signature Algonithm (上 ECDSA ).” International Journal of Information Security 


| (1) 2001: 36 -063. 
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在 这 一 章 ， 我 们 将 讨论 比特 币 如 何 做 到 去 中 心 化 。 在 第 1 革 中 ,我 们 讨论 
了 比特 币 底层 加 密 算 法 的 基础 ， 最 后 我 们 谈 到 了 财 奴 币 。 作 为 一 种 以 账本 为 基 
而 的 记 账 式 加 密 数 字 货 币 ， 财 奴 系 统 已 经 做 得 确实 不 错 了 ， 但 它 有 一 个 很 突出 
的 问题 ， 那 就 是 该 系统 非常 依赖 一 个 被 称 为 “ 财 奴 ” 的 中 心 化 权威 。 在 第 1 曹 
的 最 后 ,我 们 提出 了 财 奴 币 去 中 心 化 的 问题 ,或 者 说 如 何 去 财 奴 化 。 在 本 草 ， 
我 们 将 看 重 讨论 这 个 问题 。 

通读 完 本 章 ， 我 们 将 注意 到 比特 币 并 不 是 完全 使 用 纯 技 术 手 段 ， 而 是 将 技 
术 手 段 与 一 种 明智 的 激励 机 制 相 结合 ， 做 到 了 去 中 心 化 。 本 章 的 最 终日 的 会 使 
你 对 去 中 心 化 有 一 个 通盘 的 认识 ， 同 时 也 对 比特 币 运 作 机 制 有 所 了 解 ， 并 且 懂 
得 为 什么 比特 币 确 实 是 安全 的 ，。 


2. 1 中心 化 与 去 中 心 化 


去 中 心 化 是 一 个 重要 概念 ， 这 个 概念 并 不 是 比特 币 独 有 的 特性 。 在 各 种 数 
字 技 术 领 域 ， 中 心 化 与 去 中 心 化 两 派 的 竞争 也 越 来 越 多 见 。 为 了 更 好 地 理解 竞 
争 模 式 在 比特 币 里 的 表现 ， 我 们 有 必要 了 解 一 下 两 派 竞争 在 其 他 不 同 技术 领域 
的 范 争 焦点 。 

互联 网 其 实 就 是 一 个 著名 的 去 中 心 化 系统 。 但 在 早期 ， 互联 网 是 在 与 美 


ww ai bbt.com DODODDDDOD 





区 块 链 : 技术 驱动 金融 


国 在 线 (American On-Line， 简 称 AOL) 以 及 CompuServe 等 围墙 花园 式 信息 
服务 体系 的 竞争 中 ， 逐 步 变 得 越 来 越 风 行 。 电 子 邮 件 的 实质 也 是 一 种 简单 邮 
件 传输 协议 (Simple Mail Transfer Protocol， 简 称 SMTP) 的 去 中 心 化 系统 。 尽 
管 电子 邮件 也 受到 像 脸 书 (Facebook)、 领 英 (LinkedIn) 这 些 中 心 化 私有 信 
息 系统 邮 箱 服务 体系 的 挑战 ,但 电子 邮件 仍然 是 人 与 人 之 间 进 行 通信 的 一 种 
被 默认 的 选择 。 其 实 ， 我 们 已 经 不 能 简单 将 像 即时 短信 或 者 短信 等 通信 手段 
归 类 为 是 中 心 化 ,或 者 是 去 中 心 化 模式 ,这些 通信 方式 往往 是 一 种 混合 模式 。 
在 社交 网 络 中 ,尽管 有 很 多 爱好 者 、 技 术 开 发 人 员 ， 其 至 还 有 企业 者 也 在 和 
坛 用 去 中 心 化 的 方式 来 替代 像 脸 书 、 领 英 这 样 的 中 心 化 系统 , 但 目前 这 些 中 
心 化 系统 仍 具 统 治 地 位 。 事 实 上 ， 中 心 化 与 去 中 心 化 的 苑 争 在 数字 时 代 之 前 
就 已 经 存在 ， 在 电话 、 无 线 电 、 电 视 及 电影 的 发 展 史 上 ,我 们 都 曾 看 到 过 这 
两 种 模式 的 竞争 。 

中 心 化 与 去 中 心 化 也 并 非 水 火 不 容 ， 其 实 没 有 一 个 系统 是 完全 中 心 化 ， 或 
者 是 完全 去 中 心 化 的 。 比 如 ， 电 子 邮 件 其 实 是 一 个 去 中 心 化 系统 ， 它 基于 一 个 
标准 的 中 心 化 协议 SMTP， 任 何人 只 要 原意， 都 可 以 设计 一 个 目 己 的 电子 邮件 服 
务 器 ， 但 实际 情况 是 ， 只 有 一 小 部 分 电子 邮件 服务 商 在 这 个 领域 占据 着 统治 地 
位 。 类 似 ， 昌 然 比 特 币 系 统 是 去 中 心 化 的 ,但 比特 币 交 易 所 (将 比特 币 转换 成 
其 他 货币 的 平台 ) 、 钱 包 软 件 以 及 用 户 管 理 比 特 币 的 软件 ， 可 以 是 中 心 化 的 ,也 
可 以 是 去 中 心 化 的 。 

有 了 了 以 上 的 考虑 ， 我 们 把 比特 币 如 何 做 到 去 中 心 化 这 个 问题 拆 解 为 下 面 五 
个 问题 : 


1. 谁 在 维护 交易 账本 ? 


1 CompuServe， 美 国 最 大 的 在 线 信息 服务 机 构 之 一 。，CompuServe 产品 于 1979 年 问世 ， 它 提供 留言 板 、 
新 图 和 人 信息、 电子 商务 以 及 其 他 类 似 网 络 功 能 的 服务 。 这 款 产品 的 问 圭 时 间 远 远 早 于 网 络 ， 美 国 在 
线 在 20 址 纪 90 年 代 早 期 的 崛 起， 使 得 CompuServe 退 居 美国 第 二 大 在 线 服 务 商 ， 不 久之 后 ，Com- 
puServe 不 得 不 同 世 联网 进行 薄 刍 ， 它 和 棕 成 了 一 个 不 那么 令 人 满意 的 末 联 网 服务 提供 商 。 而 且 ， 随 着 
用 户 更 多 地 使 用 互联 网 ，CompuServe 风光 一 时 的 留言 板 也 开始 被 人 抛弃 .1997 年 ， 美 国 在 线 收 购 
CompuServe 正如 网 景 一 样 ，CompuServe 成 为 美国 在 线 用 在 其 他 产品 上 的 标示 。 现在，Com- 


puServe 只 是 一 个 半 门 户 网 站 ., 一 一 详 者 注 
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. 谁 有 权利 批准 哪个 交易 是 正当 有 效 的 ? 
. 谁 在 制造 新 的 比特 币 ? 
. 谁 在 制定 系统 变化 规则 ? 
. 比特 币 是 如 何 取 得 交易 价值 的 ? 

前 三 个 问题 反映 了 比特 币 协议 的 技术 细节 ， 我 们 将 在 本 曹 重 点 讨论 。 

比特 币 系 统 的 不 同方 面 是 从 不 同 点 处 及 了 中 心 化 及 去 中 心 化 。 点 对 点 网 络 
是 最 接近 去 中 心 化 的 体系 ， 任 何 一 个 人 都 可 以 运行 一 个 比特 币 节 上 点， 而且 基 本 
没有 什么 人 门 门 覆 ， 用 户 只 需要 上 网 下 载 一 个 比特 币 客 户 端 ， 就 可 以 在 其 个 人 
电脑 上 运行 一 个 节点 ， 现 在 全 球 有 成 千 上 万 个 这 样 的 节点 。 在 本 章 2.4 节 中 我 
们 将 要 学 习 比 特 币 挖 矿 (bitcoin mining)， 从 技术 上 讲 ， 挖 矿 过 程 也 是 向 所 有 人 
开放 的 ， 但 控 矿 需要 很 多 资金 投入 。 正 因为 如 此 ， 控 矿 领 域 具 有 非常 高 的 中 心 
化 及 挖 矿 能 力 集 中 的 倾向 。 比 特 币 社区 里 有 许多 人 认为 这 种 现象 并 不 可 取 。 第 
三 点 是 关于 比特 币 运行 节点 软件 的 更 新 ， 这 涉及 何 时 以 及 如 何 更 新 系统 规则 。 
大 家 可 以 想象 ， 就 像 电 子 邮 件 系统 那样 ， 这 些 闻 点 可 能 有 各 种 根据 相同 方式 但 
通过 不 同 手段 实现 的 不 同 版 本 。 但 在 实际 上 ， 绝 大 多 数 节 点 用 的 都 是 社区 里 被 
大 家 公认 的 有 权威 的 资深 开发 者 开发 出 来 的 软件 。 


nn 下 hi 





2.2 ”分布 式 共识 


在 前 一 节 ， 我 们 笼统 地 讨论 了 去 中 心 化 和 中 心 化 。 现 在 我 们 从 一 个 更 为 
技术 性 的 层面 看 一 下 上 比特 币 的 去 中 心 化 。 接 下 来 ,我 们 会 遇 到 一 个 被 称 作 
“共识 ”(consensus) 的 重要 概念 ， 特 别 地 ， 还 有 “分 布 式 共识 ” (distributed 
consensus ) 。 建 立 一 个 分 布 式 的 电子 现金 系统 的 关键 技术 问题 ， 就 在 于 要 达成 
分 布 式 共识 。 直观 地 说 ， 你 可 以 想象 我 们 的 目标 就 是 要 将 第 1 章 提 到 的 财 奴 
币 去 中 心 化 。 

分 布 式 共识 有 各 种 应 用 ， 计 算 机 界 对 其 也 研究 了 多 年 ， 传 统 具 有 启发 式 的 
应 用 跳 定 提 局 分 布 式 系统 的 可 靠 性 。 设 想 你 在 管理 一 个 社交 网 络 公 司 的 后 端 平 
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台 ， 比 如 微 信 ， 像 这 样 庞大 的 系统 通常 有 几 干 台 其 至 几 万 台 服 务 占 ， 这 些 服务 
器 组 成 了 一 个 巨大 的 分 布 式 数据 库 ， 数 据 库 中 记录 了 这 个 系统 里 发 生 的 各 种 活 
动 ， 而 每 条 信息 都 会 被 记录 在 后 端的 奋 干 个 节点 上 ， 对 于 整个 系统 的 状态 ， 这 
些 节 点 必须 要 做 到 同步 。 

分 布 式 共识 协议 的 意义 远 远 超出 了 传统 意义 的 苑 畴 。 一 旦 具备 了 这 样 的 体 
系 ， 我 们 就 可 以 建立 一 个 庞大 的 分 布 式 键 值 (key-value) 存储 库 ， 该 类 存储 库 
可 以 将 任意 数据 如 身高 、 名 字 等 对 应 一 个 相应 的 开 司 键 ， 基 于 此 ， 许 多 应 用 得 
以 实现 。 例 如 ， 我 们 可 以 建立 一 个 分 布 式 域名 系统 ， 将 人 脑 易 于 理解 的 域名 与 
IP 地 址 进行 配对 ， 我 们 也 可 以 建立 一 个 公 钥 目录 ， 这 个 目录 可 以 把 公 钥 与 电邮 
地 址 〈 或 者 其 他 真实 世界 中 的 身份 证 明 ) 对 应 起 来 。 

以 上 讨论 在 直觉 上 说 明了 分 布 式 共 识 的 大 概 含 义 。 对 于 分 布 式 共 识 ， 我 们 还 
是 要 给 出 一 个 技术 定义 ， 以 此 我 们 可 以 判别 一 个 协定 是 否 符合 分 布 式 共识 的 要 求 。 


分 布 式 共识 协议 在 一 个 有 mn 个 节点 的 系统 中 ， 每 一 个 节点 都 有 一 个 输入 
值 ， 其 中 一 些 节点 具有 故障 ， 甚 至 是 恶意 的 。 一 个 分 布 式 共 识 协议 有 以 下 
两 个 属性 : 


e 输入 值 的 中 止 须 经 所 有 诚实 节点 来 确定 。 
e 这 个 输入 值 必须 由 诚实 节点 来 生成 。 


那么 以 上 概念 在 比特 币 里 又 是 什么 含义 呢 ? 想 要 理解 分 布 式 共 识 在 比特 币 
中 的 用 途 ， 我 们 需要 记 住 比特 币 是 个 点 对 点 的 系统 。 当 爱丽 丝 向 鲍 勃 付款 的 时 
候 ， 她 其 实 是 在 回 构 成 比特 币 网 络 上 的 所 有 节点 广播 其 交易 行为 ， 见 图 2. 1。 


丽 丝 签名 


支付 给 鲍 勃 的 公 钠 : H ( ) 





图 2.1 广播 交易 
注 : 为 了 回 饱 勃 付 款 ， 爱 丽 丝 需要 问 整 个 比特 币 点 对 点 网 络 进 行 广播 
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顺便 提 一 下 ， 你 可 能 注意 到 ， 当 爱丽 丝 向 整个 比特 币 点 对 点 系统 广播 时 ， 
鲍 勃 的 计算 机 并 不 一 定 在 图 2.1 的 网 络 中 。 当 然 鲍 勃 也 有 可 能 在 这 个 网 络 上 运 
行 着 一 个 节点 ， 如 果 鲍 勃 想 在 爱丽 丝 转 币 给 他 时 及 时 被 系统 通知 ， 运 行 一 个 厂 
点 当然 是 个 好 主意 ， 但 其 实 这 并 不 重要 ， 鲍 勃 是 否 运 行 节点 并 不 影响 他 收 到 过 
丽 丝 转 给 他 的 比特 币 。 

在 比特 币 网 络 里 ， 节 点 到 底 要 达成 什么 样 的 共识 呢 ? 网 络 里 有 各 种 各 样 的 
用 户 在 向 网 络 广播 交易 ， 节 点 必须 对 哪些 交易 可 以 进行 广播 和 交易 发 生 的 次 序 
达成 共识 ， 以 此 系统 将 形成 一 个 唯一 的 全 球 交 易 总 账 。 回 想 我 们 在 第 1 章 1.5 
节 中 曾 提 到 的 财 奴 币 将 交易 打包 成 块 ， 对 信息 进行 优化 处 理 。 类 似 地 ， 在 比特 
币 体 系 里 ， 我 们 也 将 每 个 区 块 进行 共识 处 理 。 

在 任何 时 点 ， 所 有 在 点 对 点 网 络 上 的 节点 都 有 包含 一 系列 区 块 的 总 账本 ， 
每 个 区 块 中 都 包含 了 已 经 被 所 有 节点 达成 共识 的 交易 清单 。 除 此 之 外 ， 每 个 
节点 还 有 一 堆 没 有 被 打包 进入 区 块 的 交易 ， 就 是 那些 网 络 节 点 已 经 被 通知 、 
交易 已 经 发 生 ， 但 还 没有 被 写 进 区 块 的 交易 。 网 络 节点 对 于 这 些 交 易 还 没 
有 达成 共识 ， 所 以 每 个 节点 都 有 一 个 略 有 差异 、 尚 待 确认 的 交易 池 。 在 实 


际 中 ， 点 对 点 网 络 是 不 完美 的 ， 所 以 有 些 市 点 听 到 了 交易 ， 而 有 些 市 点 却 
没有 听 到 。 


那么 ， 所 有 的 节点 是 如 何 对 一 个 区 块 达 成 共识 的 呢 ? 一 个 方法 是 ， 在 一 
个 时 间 段 里 ， 比 如 说 每 隔 十 分 钟 ， 每 个 节点 都 提议 ， 目 己 的 未 被 认可 的 交易 
成 为 已 经 达成 共识 的 区 块 链 后 面 的 下 一 个 区 块 ， 然 后 那些 市 点 会 执行 一 些 共 
识 协议 ， 每 个 证 点 把 自己 提议 的 区 块 作为 输入 。 但 不 可 避免 地 ， 有 些 节点 可 
能 是 恶意 的 ， 存 心 要 把 不 当 交 易 放 进 区 块 里 ， 其 他 节点 则 是 诚实 的 。 如 果 共 
识 协 议 能 够 顺利 完成 ， 一 个 正当 有 效 的 区 块 会 被 选 作 输出 值 。 尽 管 有 些 被 选 
出 的 区 块 是 由 一 个 节操 提交 , 但 只 要 这 个 区 块 是 正当 有 效 的 ， 输 出 就 是 正当 
有 效 的 。 这 时 候 可 能 有 人 会 指出 ， 这 个 被 选 出 的 区 块 可 能 未 包含 所 有 的 正当 
有 效 的 交易 ， 但 这 并 没有 关系 ， 如 果 有 些 正当 有 效 的 交易 没 被 放 进 区 块 ， 它 
们 可 以 等 竺 下 一 次 机 会 。 

前 面 所 谈 到 的 这 个 办 法 与 比特 币 系统 有 些 相似 之 处 了 ， 但 实质 还 是 不 完全 
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一 样 。 以 上 做 法 有 几 个 技术 上 的 问题 : 第 一 ， 达 成 共识 一 般 是 个 难题 ， 央 为 有 
些 节点 会 死机 或 是 根本 就 是 恶意 节点 ; 第 二 ， 就 比特 币 而 言 ， 点 对 点 网 络 是 不 
完美 的 ， 并非 所 有 对 应 的 节点 是 两 两 相连 的 ， 互 联网 链接 的 不 恨 可 能 会 造成 网 
络 问题 ， 要 执行 一 个 所 有 节点 都 参与 的 共识 协议 好 像 并 不 现实 ; 第 三 ， 由 于 区 


易 信息 是 分 布 在 整个 互联 网 上 ,信息 传递 会 有 严 壬 延 述 。 


全 延 壕 与 全 球 时 间 


比特 币 协议 达成 共识 时 必须 直面 两 大 障碍 : 其 一 是 不 完美 网 络 ， 例 如 信 
息 延 迟 和 节点 死机 ， 其 二 是 某 些 故意 搞 破 坏 的 节点 。 

严重 网 络 延 迟 导 致 的 一 个 后 果 是 ， 节 点 之 间 没 有 一 个 统一 的 全 球 时 间 概 
念 。 意 思 是 ， 并 非 所 有 节点 都 能 根据 每 个 交易 的 时 间 戳 来 达成 交易 时 间 共 识 ， 
因此 ， 共 识 协 议 不 能 执行 以 下 指令 :“ 在 第 一 步 里 发 了 第 一 个 消息 的 节 所 必须 
在 第 二 步 里 执行 X。” 这 一 做 法 根本 无 法 执行 ， 因 为 所 有 的 节点 对 于 谁 在 第 一 
步 中 发 出 第 一 个 信息 有 不 同 的 看 法 。 


不 可 能 性 结论 

在 全 球 时 间 上 的 不 统一 ,给 共识 协议 算法 市 来 了 很 多 限制 。 事 实 上 ， 由 于 
这 些 限制 ， 许 多 关于 分 布 式 共识 的 文献 都 对 是 否 能 达成 共识 持 翡 观 态 度 ， 有 许 
多 达成 共识 具备 不 可 能 性 的 结论 已 经 被 证 实 。 一 个 经 典 案 例 就 是 “拜占庭 将 军 
问题 ”(Byzantine Generals Problem ) ， 这 个 经 典 难 题 是 这 样 曾 述 的 : 拜占庭 是 东 
罗马 和 之 国 的 首都 ， 它 的 军队 分 成 多 个 师 ， 每 个 师 都 由 一 个 将 军统 领 。 这 些 将 军 
通过 信使 进行 交流 ,来 达成 一 个 共同 作战 方案 ， 有 些 将 军 可 能 是 叛徒 ， 想 故意 
破坏 这 个 过 程 ， 这 会 造成 那些 忠诚 的 将 军 也 无 法 达成 一 个 统一 的 作战 计划 。 解 
决 这 个 难题 的 办 法 就 是 让 那些 忠诚 的 将 军 在 这 样 的 情况 下 达成 统一 作战 方案 ， 
而 导 侈 那些 叛徒 对 作战 方案 的 误导 。 事实 证明， 如 果 叛 徒 数量 超过 1/3 时 ， 这 
个 难题 将 无 法 克服 ,那些 忠 臣 的 计划 终 会 被 叛徒 们 破坏 。 
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还 有 一 个 更 为 微妙 的 关于 不 可 能 性 的 结论 ， 这 就 是 著名 的 “Fischer-Lynch- 
Paterson 不 可 能 结果 " 工 ， 该 名 称 以 最 初 的 作者 而 命名 。 该 结果 指出 ， 在 一 定 的 
条 件 下 (包括 节点 行为 具有 全 定性 特征 ) ， 甚 至 在 只 有 一 个 缺陷 的 过 程 中 ， 达 成 
共识 部 是 不 可 能 的 。 

尽管 有 这 些 “ 不 可 能 性 结论 ”" ， 还 是 有 文献 谈 到 了 一 些 共识 协议 。 比 较 戎 名 
的 就 是 Paxos 算法 协议 ，Paxos 算法 做 了 一 些 妥 协 ， 一 方面 ，Paxos 算法 能 做 到 不 
产生 不 一 致 的 结果 ; 另 一 方面 ，Paxos 算法 所 做 的 妥协 是 ， 在 一 定 条 件 下 (虽然 
是 不 常见 的 情形 ) ， 该 协议 会 死机 卡 住 ， 从 而 无 法 继续 运行 . 


打破 传统 上 的 假设 

oa 这 些 所 谓 的 “不 可 能 性 结论 ” 定 的 模式 下 才 成 
六 ， 这 些 结论 是 针对 分 布 式 数据 库 的 研究 ， 这 些 模型 不 能 完全 套用 到 比特 币 号 
上 来 ， 比 特 币 本 号 就 打破 了 很 多 re ne 设 。 这 些 结论 其 实 
从 某 一 方面 让 我 们 更 明白 了 那些 特定 模式 ， 由 此 或 许可 以 真正 对 分 布 式 共识 给 
出 解决 方案 。 

具有 讽刺 剖 DA 比特 币 实 际 运行 情况 下 远 
比 理 论 上 告诉 我 们 的 要 好 得 多 ， 这 就 是 比特 币 让 专家 们 跌 破 眼镜 之 处 。 我 们 看 
到 分 布 式 共识 在 比特 币 里 运行 良好 ， 但 我 们 还 没有 建立 理论 来 Ce 什 恤 
会 这 样 ， 但 无 论 如 何 ， 完 善 理论 对 将 来 的 发 展 还 是 十 分 重要 的 ， 结果 可 以 
使 我 们 预测 ， 其 至 预防 未 来 可 能 的 攻击 和 问题 ， he 的 理论 依 
据 ， 来 解释 比特 币 分 布 式 共识 的 民 好 运作 机 制 ， 我们 才能 真正 地 对 比特 币 的 安 
全 性 和 稳定 性 做 出 保证 ， 

比特 币 到 底 打 破 了 经 典 模 型 ee 第 一 ， 比 特 币 引进 了 奖励 的 
理念 ， 这 对 分 布 式 共识 协议 来 说 是 一 个 全 新 的 理念 ， 这 也 只 有 在 比特 币 里 才 可 


1 Fischer-Lynch-Paterson 不 可 能 结果 .是 Michael J. Fischer、Naney A.， Lynch 和 Michael S，Paterson 在 
论文 Jmpossibility of distributed consensus with one faultry process 中 证 明 的 一 个 结论 ， 称 得 上 是 分 布 式 理 
沦 中 最 为 涂 刻 的 结论 ， 大 致 表述 如 下 :“ 在 一 个 多 进程 异步 系统 中 ， 只 要 有 一 个 进程 不 可 靠 ， 那 么 
就 不 存在 一 个 协议 ， 此 协议 能 保证 有 限时 间 内 使 所 有 进程 达成 一 致 ” 泽 者 注 
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能 实现 ， 因 为 比特 币 也 是 个 货币 ， 所 以 人 们 自然 而 然 地 会 为 了 金钱 奖励 而 变 得 
减 实 起 来 。 所 以 ， 比 特 币 并 没有 真正 解决 分 布 式 共 识 问题 ， 它 只 是 在 特定 赁 币 
系统 下 解决 了 这 个 问题 而 已 。 

第 二 ， 比 特 币 体系 包含 随机 性 这 个 概念 。 在 后 面 两 节 里 我 们 将 会 看 到 ， 比 
特 币 的 共识 算法 很 大 程度 上 依赖 于 随机 性 。 此 外 ， 它 也 不 再 纠结 于 规定 共识 的 
起 点 与 终点 。 相 反 ， 共 识 是 通过 一 段 较 长 的 时 间 而 达成 的 ， 在 实际 系统 中 ， 达 
成 共识 大 约 需 要 一 个 小 时 左右 。 但 即使 在 一 个 小 时 以 后 ， 节 点 们 也 无 法 确定 哪 
一 个 交易 块 应 该 进入 总 账本 。 但 随 着 时 间 的 流逝 ， 我 们 对 茶 一 个 块 的 认识 与 最 
终 总 体 共 识 相 吻 合 的 概率 将 越 来 越 大 ， 观 点 出 现 分 歧 的 概率 按 指数 级 下 降 。 比 
特 币 在 以 上 方面 的 不 同 ， 让 它 能 够 逾越 传统 理论 关于 分 布 式 共 识 不 可 达成 这 一 
鸿沟 。 


2.3 使 用 区 块 链 达成 没有 于 份 的 共识 


在 这 一 节 里 ， 我 们 将 探讨 比特 币 共 识 算法 的 技术 细 市 。 回 忆 一 下 ， 我们 在 
前 面 曾 说 过 ， 比 特 币 中 的 每 个 节点 并 没有 一 个 稳定 的 、 长 期 的 喘 份 ， 这 一 点 也 
是 与 传统 分 布 式 共 识 算法 的 不 同 之 处 。 喘 份 缺失 的 原因 是 ， 在 一 个 点 对 点 网 络 
中 ， 没 有 一 个 中 央 权 威 机 构 来 发 放 身 份 ， 并 保证 它们 没有 制造 节点 。 用 技术 森 


滞 来 说 ， 乱 造 节点 就 是 所 谓 的 “女巫 攻击 ” (sybil attack) 现象 。 女 巫 就 是 恶意 
黑客 制造 的 不 同 节点 ， 这 些 节 点 看 起 来 像 是 对 应 不 同 的 身份 的 人 ， 其 实 是 由 一 


个 人 在 幕后 控制 。 吃 一 个 原因 是 化 名 制 〈pseudonymity ) ， 也 是 比特 币 想 达到 的 
一 个 目标 ， 所 以 即使 可 以 苞 所 有 节点 建立 唯一 真实 号 份 ,我 们 也 不 想 那 样 做 。 
虽然 比特 币 还 是 不 能 保证 真正 的 匿名 ,一 个 用 户 用 不 同 映 份 做 的 不 同 交易 还 是 
有 办 法 被 最 终 退 踊 到 , 但 比特 币 的 特性 毕 竞 没 有 强迫 大 家 用 真实 身份 来 加 入 。 
这 是 比特 币 的 重要 特性 ， 也 是 比特 币 系统 的 核心 理念 。 

如 果 所 有 市 点 都 有 真实 映 份 的 话 ， 那 么 设计 上 会 更 加 容易 。 有 了 真实 身份 ， 
我 们 就 能 够 以 这 样 的 方式 发 出 协议 指令 ， 比 如 “编号 最 小 的 节点 开始 做 某 些 动 
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作 ”， 在 没有 真实 身份 前 提 下 ， 系 统 能 设计 的 指令 就 受到 很 多 限制 ， 但 设计 真实 
身份 最 主要 的 考虑 是 安全 上 的 便利 。 如 果 节 点 的 身份 可 以 被 识别 ， 就 不 能 随便 
地 制造 新 的 节点 身份 出 来 。 那 样 的 话 ， 我 们 就 可 以 假设 有 恶意 节点 的 数量 ， 然 
后 部 署 安全 措施 来 防范 。 基 于 以 上 原因 ， 缺 少 真 实 身 份 给 比特 币 的 共识 协议 带 
来 很 多 难点 。 

我 们 可 以 做 一 个 较 弱 的 理论 假设 来 弥补 这 个 先天 的 不 足 。 假 设 我 们 可 以 在 
系统 里 随意 选 一 个 节点 ,一 个 比较 好 的 比喻 是 一 一 就 如 同 在 彩票 站 ,或 是 在 任 
何 一 个 难以 辨别 每 个 人 身份 的 系统 中 ,我们 给 每 一 位 顾客 发 出 彩票 或 是 一 个 识 
别 牌 ， 之 后 我 们 就 可 以 开始 抽奖 ， 与 奖 号 对 应 的 人 就 会 中 奖 。 现 在 我 们 想象 一 
下 在 比特 币 的 世界 里 ， 我 们 假设 也 可 以 做 到 这 一 点 。 我 们 再 假设 ， 这 个 彩票 的 
印 制 过 程 与 发 放 办 法 是 足够 聪明 的 ， 如 果 一 个 黑客 想 制 造 出 许多 女巫 节点 来 ， 
最 后 所 有 这 些 节 点 也 只 能 拿 到 一 张 彩票 。 也 就 是 说 ， 这 个 黑客 无 法 通过 制造 假 
的 市 点 来 增强 他 的 力量 ， 如 来 你 觉得 我 们 做 的 假设 太 多 了 ,请 不 要 担心 ， 我们 
在 以 后 会 消除 这 些 假设 ， 并 在 后 文 会 详细 说 明 ， 在 比特 币 系 统 中 ， 与 这 些 假设 
相对 应 的 性 质 是 如 何 实现 的 。 


隐 和 性 共识 

对 随意 节点 选择 的 假设 可 以 让 “ 隐 性 共识 ” (inplicit consensus) 成 为 可 能 . 
我 们 的 共识 协议 有 多 个 回合 ， 每 个 回合 都 对 应 着 区 块 链 里 的 一 个 块 。 在 每 一 个 
回合 里 ， 一 个 随机 节点 会 被 选中 ， 然 后 这 个 节点 可 以 提议 这 个 链 的 下 一 个 区 块 。 
这 时 没有 共识 算法 ， 也 没有 任何 投票 过 程 来 决定 哪个 区 块 会 被 选中 ， 随 机 被 选 
中 的 节点 会 直接 决定 区 块 链 的 下 一 个 区 块 ， 但 万 一 这 个 节点 是 恶意 的 呢 ? 针对 
这 个 问题 ， 还 是 有 应 对 办 法 的 ， 解决 方法 就 是 隐 性 共识 。 其 他 节点 可 以 通过 隐 
性 地 接受 或 是 拒绝 前 面 这 个 被 随机 选择 出 来 的 节点 。 如 果 接 受 ， 它们 会 在 这 个 
块 之 后 接龙 下 去 ; 如果 拒绝 ,它们 忽略 这 个 新 的 区 块 ， 而 是 选择 前 一 曾经 接 
受 的 区 块 ， 来 继续 接龙 下 去 。 大 家 还 记得 ， 每 一 块 都 记录 着 前 一 块 的 哈 希 值 。 
这 束 是 节点 选择 在 哪 一 块 来 继续 接龙 的 技术 处 理 方式 : 比特 币 共 识 算法 ( 简 
化 版 ) 。 
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这 个 算法 的 简化 假设 是 ， 可 以 随意 选择 一 个 节点 ， 这些 节点 都 不 会 受到 女 
焉 攻击 的 影响 ， 
1. 新 的 交易 被 广播 到 所 有 节点 上 


2. 每 个 节点 都 将 新 的 交易 放 进 一 个 区 块 。 

3. 在 每 个 回合 ， 一 个 随机 的 节点 可 以 广播 它 的 区 块 ， 

下 gor 文 个 区 块 ， 前 提 是 如 果 区 块 里 的 交易 都 是 正当 的 
(有 真 的 签名 

本 
那个 新 区 块 的 认可 ， 

我 们 现在 一 起 来 研究 一 下 为 什么 这 样 一 个 共识 算法 是 有 效 的 。 为 此 ， 我 们 

假设 有 一 个 叫 爱丽 丝 的 黑客 ， 她 想 要 破坏 这 个 共识 过 程 。 
窃取 比特 币 


爱丽 丝 能 够 穷 取 属于 男 一 个 用 户 ， 不 受 她 控制 的 地 址 里 的 比特 币 吗 ?人 容 案 
nn db 
取 别 人 的 比特 币 。 这 么 做 的 话 ， 爱 丽 丝 需 要 发 起 一 笔 有 效 的 交易 来 花 掉 这 个 比 
oe nei i 然而 如 果 数 字 签 名 机 制 是 安 
全 的 ， 她 是 无 法 办 到 的 。 只 要 和 缘 后 的 密码 学 基础 是 牢 徘 的 ， 她 就 无 法 轻易 急 取 
比特 币 。 


拒绝 服务 攻击 

让 我 们 来 考虑 另 一 种 攻击 。 假设 爱丽 丝 不 喜欢 叫 鲍 勃 的 某 个 用 户 ， 爱 丽 丝 
可 以 决定 她 不 把 鲍 勃 发 起 的 任何 交易 放 进 她 所 提议 的 区 块 里 。 换 言 之 ， 她 拒绝 
提供 服务 给 鲍 劳 。 尽 管 这 是 爱丽 丝 可 以 开展 的 有 效 的 攻击 ， 但 幸好 这 不 过 是 个 
小 问题 。 如 果 鲍 动 的 交易 没有 被 放 进 爱丽 丝 所 提议 的 下 一 个 区 块 ， 鲍 动 只 要 征 
到 下 一 个 诚实 节点 发 起 区 块 的 时 候 ， 他 的 交易 记录 就 会 被 放 进 这 个 区 块 里 。 所 
以 这 其 实 也 不 算是 一 个 有 效 的 攻击 
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双重 支付 攻击 

爱丽 丝 也 可 能 会 发 起 一 个 双重 支付 攻击 。 要 理解 爱丽 丝 如 何 发 起 这 种 攻击 ， 
我 们 可 以 假设 爱丽 丝 是 鲍 勃 开 的 网 店 或 网 站 的 一 名 顾客 。 鲍 勃 提 供 一 些 比 特 币 
付费 的 在 线 服务 ， 比 如 软件 下 载 。 双 重 支 付 攻 击 是 这 样 的 : 爱丽 丝 在 鲍 肛 的 网 
站 选中 一 件 商 品 并 加 入 购物 车 中 ， 此 时 服务 器 要 求 付 款 。 然 后 ， 爱 丽 丝 在 她 的 
地 址 上 向 鲍 勃 的 地 址 发 起 了 一 笔 比 特 币 交易 ， 并 辐 整 个 网 络 广播 这 笔 交 易 。 我 
们 假设 由 某 个 诚实 节点 来 制造 下 一 个 区 块 ， 并 把 这 笔 交 易 放 进 这 个 区 块 中 。 因 
此 ， 现 在 就 有 了 一 个 由 诚实 节点 发 起 ， 包 含 代表 爱丽 丝 回 商家 鲍 怠 文 付 这 笔 区 
易 在 内 的 区 块 了 。 

我 们 还 记得 一 个 交易 就 是 一 个 数据 结构 ， 里 面 有 爱丽 丝 的 数字 签名 ， 一 个 
付 给 鲍 勃 的 公 钥 (地 址 ) 的 指令 和 一 个 哈 布 值 。 这 个 哈 布 值 代 表 了 一 个 指针 ， 
指向 先前 的 一 笔 交 易 的 输出 ， 即 爱丽 丝 之 前 收 到 并 于 现在 消费 比特 币 。 这 个 指 
针 必 须 指向 一 个 已 被 共识 链 上 的 某 个 之 前 的 区 块 所 认可 的 交易 。 

顺便 说 一 下 ， 有 两 种 容易 混 清 的 不 同类 型 的 哈 希 指针 。 一 种 是 在 区 块 内 用 
来 表示 接 在 之 前 哪个 区 块 后 面 的 哈 硕 指针 ; 男 一 种 是 在 交易 里 的 一 个 或 多 个 ， 
用 来 指向 之 前 交易 里 说 明 比 特 币 来 源 的 哈 硕 指针 。 

我 们 回 到 爱丽 丝 如 何 发 起 双重 文 付 攻击 这 个 问题 。 最 新 的 一 个 区 块 由 一 个 
诚实 节点 产生 ， 其 中 包含 爱丽 丝 下 载 软件 回 鲍 拖 付 费 的 交易 记录 。 当 看 到 这 笔 
交易 被 放 和 人 区 块 链 后 ， 鲍 勃 认 为 爱丽 丝 已 经 向 他 付款 ， 便 允许 爱丽 丝 下 载 软件 。 
假设 在 下 一 个 回合 被 随机 选中 的 节点 恰巧 被 爱丽 丝 所 控制 。 现 在 因为 爱丽 丝 可 
以 提议 下 一 个 区 块 ， 她 可 以 选择 忽略 抒 前 面 那 个 包含 她 支付 给 鲍 勃 的 那 笔 交 易 
的 区 块 ， 而 产生 一 个 包含 指向 之 前 区 块 指针 的 区 块 。 不 仅 这 样 ， 在 这 个 区 块 里 ， 
爱丽 丝 可 以 放 进 一 笔 交 易 ， 把 她 付 给 鲍 勃 的 币 转 到 一 个 被 她 所 控制 地 址 里 去 . 
这 惑 是 一 个 经 典 的 双重 文 付 攻击 。 因 为 这 两 个 交易 用 的 是 同一 个 币 ， 只 有 一 个 
交易 可 以 被 放 进 区 块 链 。 所 以 如 果 爱 丽 丝 成 功 地 把 币 转 到 她 控制 的 地 址 ， 那 个 
她 付 币 给 鲍 动 的 交易 记录 将 变 得 无 效 ， 因 为 它 将 不 会 被 放 进 区 块 链 里 。 这 一 过 
程 详 见 图 2. 2。 
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A 签 名 这 一 笔 交 易 “ | 


一 上 一 一 -- -| 支付 给 B 的 公 铜 : H ( ) 
ede 


图 2.2 双重 支付 攻击 


注 : 爱丽 丝 创 建 了 两 笔 交 易 : 一 笔 是 她 付 给 鲍 勃 比特 币 的 交易 ， 必 一 笔 是 她 将 这 笔 比 特 币 重复 
支付 到 她 控制 的 男 一 个 地 址 。 因 为 这 两 笔 交 易 用 相同 的 比特 币 支 付 ， 所 以 只 有 一 笔会 被 放 
进 区 块 链 。 图 中 的 箭头 表示 一 个 区 块 链接 到 前 一 个 区 块 的 指针 ， 通 过 在 前 一 个 区 块 目 己 的 
内 容 中 包含 了 一 个 哈 硕 值 进行 了 扩展 。C、 代 表 爱 丽 丝 拥有 的 币 。 





那 我 们 如 何 知道 这 个 双重 文 付 攻 击 是 否 能 成 功 呢 ? 这 取决 于 最 后 哪个 区 块 
会 被 纳入 长 期 的 共识 链 ， 是 爱丽 丝 转 给 鲍 有 勒 的 区 块 ， 还 是 爱丽 丝 转 给 爱丽 丝 目 
己 的 区 块 。 是 什么 决定 了 哪 一 个 区 块 被 纳入 呢 ? 诚 实 市 点 会 遵守 在 最 长 有 效 分 
文 后面 延 展 这 一 规则 ， 那 到 底 在 哪个 分 支 后 面 延 展 呢 ?并 没有 明确 的 管 案 ! 目 
前 来 看 ， 这 两 条 分 文 长 度 一 样 ， 它 们 的 区 别 是 仅 在 于 最 后 一 个 区 块 ， 并 且 这 两 
个 区 块 都 是 有 效 的 。 选 择 下 一 个 区 块 的 节点 可 以 决定 建立 在 其 中 一 个 区 块 上 。 
这 个 选择 就 决定 了 双重 支付 攻击 的 成 功 与 否 。 

做 妙 之 处 在 于 : 从 道德 角度 考虑 ， 这 两 个 分 支 截 然 不 同 , 一 个 是 包含 付 给 
鲍 动 交易 的 区 块 ， 一 个 是 包含 爱丽 丝 把 这 些 币 双重 文 付 给 她 自己 地 址 交易 的 区 
块 。 但 这 个 区 别 仅仅 建立 在 我 们 知道 爱丽 丝 先 支付 给 鲍 勃 再 试图 双重 支付 这 个 
故事 的 基础 上 。 但 从 技术 角度 来 看 ， 这 两 笔 交 易 完全 一 致 ， 且 都 有 效 。 节 点 没 
有 办 法 分 辨 出 哪 一 个 是 道义 上 合理 合法 的 交易 。 

实践 中 ， 市 点 往往 用 延展 它们 在 点 对 点 网 络 里 最 早 听 到 的 区 块 这 种 启发 式 
的 方法 。 但 这 不 是 一 个 无 懈 可 击 的 法 则 。 在 一 些 情况 下 ， 因 为 网 络 延迟 ， 很 可 
能 它们 先 听 到 的 区 块 实际 上 是 后 被 创造 出 来 的 。 所 以 下 一 个 提议 节点 至 少 是 有 
串 能 选择 在 那个 包含 双重 支付 的 区 块 上 延展 。 爱 丽 丝 甚至 还 可 以 贿赂 下 一 个 提 
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议 节点 来 加 大 这 个 可 能 性 。 不 管 出 于 什么 原因 ， 如 果 下 一 个 节点 真 的 接受 了 这 个 
双重 支付 的 区 块 ， 那 么 这 条 链 将 比 包 含 文 付 给 鲍 勃 交易 的 那 条 链 更 长 。 基 于 此 ， 
下 一 个 诚实 节点 就 有 可 能 去 延展 这 条 链 ， 因 为 它 更 长 。 随 着 这 个 过 程 继续 ， 这 条 
包含 双重 支付 的 链 会 更 有 可 能 成 为 长 期 共识 链 的 一 部 分 。 相 反 ， 那 个 包含 爱丽 丝 
支付 给 鲍 勃 交易 区 块 的 链 会 被 网 络 完 全 遗 筷 ， 成 为 一 个 孤 块 (orphan block ) 。 

我 们 现在 从 商家 鲍 勃 的 立场 重新 考虑 整个 情况 。 理 解 鲍 艺 如 何 保护 目 己 不 
受 双 重 支付 攻击 是 理解 比特 币 安全 措施 的 重要 的 一 部 分 。 当 爱丽 丝 广播 她 回 饱 
勃 支付 的 交易 时 ， 鲍 勃 也 在 网 上 上 听 着 ， 鲍 勃 在 下 一 区 块 被 创建 之 前 就 能 听 到 这 
笔 交 易 。 如 果 鲍 勃 比 我 们 前 面 描述 的 更 加 草率 的 话 ， 他 可 以 在 网 上 完成 检查 程 
序 ， 并 允许 爱丽 丝 此 时 下 载 软 件 。 这 叫 作 零 验 证 交易 (zero confirmation transac- 
tion)。 这 将 导致 一 个 比 前 面 所 说 的 更 加 基础 的 双重 文 付 攻击 。 前 面 所 述 情 况 ， 
为 了 实现 双重 支付 攻击 ， 我 们 需要 假设 一 个 恶意 黑客 控制 了 发 起 下 一 个 区 块 的 
节点 。 但 如 果 鲍 勃 允 许 爱 丽 丝 在 没有 收 到 区 块 链 一 条 确认 信息 的 情况 下 就 下 载 
软件 ， 那 么 爱丽 丝 可 以 立刻 广播 一 条 双重 支付 交易 ， 一 个 诚实 市 点 就 有 可 能 
这 个 交易 放 进 下 一 区 块 ， 而 不 是 支付 给 鲍 动 的 那 笔 交 易 。 见 图 2. 3。 


[确认 数 3 确认 数 





看 到 C, 向 B 的 交易 广播 
0 确认 数 
图 2.3 从 鲍 勃 立场 来 看 双重 支付 
注 : 这 是 一 个 从 商家 饼肥 的 立场 来 看 爱丽 丝 做 的 双重 支付 尝试 。 为 了 保护 自己 免 受 双重 支付 攻 
击 ， 鲍 勃 应 当 等 爱丽 丝 向 他 支付 的 交易 被 区 块 链 包 含 进去 ， 并 且 多 等 几 次 确认 。， 
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另 一 方面 ， 一 个 并 慎 的 商家 甚至 在 看 到 交易 被 包含 在 一 个 区 块 后 仍然 不 会 
允许 爱丽 丝 下 载 软件 ， 而 是 继续 等 待 。 如 果 鲍 勃 看 到 爱丽 丝 成 功 发 起 了 双重 支 
付 的 攻击 ， 他 会 意识 到 那个 含有 爱丽 丝 向 他 支付 的 交易 的 区 块 有 可 能 已 经 被 丢 
弃 。 他 应 该 放弃 这 个 交易 ， 不 让 爱丽 丝 下 载 软件 。 如 果 在 尝试 双重 支付 的 情况 
下 ,人 恰巧 下 几 个 节点 还 是 建立 在 爱丽 丝 向 鲍 勃 支付 交易 的 区 块 上 ， 那 鲍 勃 就 相 
信 这 笔 交 易 会 被 纳入 长 期 共识 链 

总 而 言 之 ， 一 个 交易 得 到 的 确认 越 多 ， 它 被 纳入 长 期 共识 链 的 概率 就 越 大 。 
如 前 文 所 述 ， 诚 实 节点 总 是 选择 延展 最 长 的 共识 链 。 因 为 长 链 增 长 更 多 ， 那 条 
含有 双重 支付 的 短 链 追 上 长 链 的 概率 会 变 得 越 来 越 小 。 在 只 有 一 小 撮 恶 意 节点 
的 情况 下 ， 这 个 结论 尤其 正确 。 因 为 短 链 要 想 赶 上 ， 这 些 恶 意 节点 需要 被 一 直 
连续 选中 ， 

事实 证 明 ， 双 重 支付 攻击 成 功 的 概率 将 随 着 确认 的 数目 的 增加 而 指数 级 降 
低 。 所 以 ， 如 果 你 感 兴趣 的 交易 已 经 收 到 上 个 确认 ， 双 重 支付 攻击 交易 被 纳入 
长 期 共识 链 的 概率 以 关于 k 的 一 个 函数 指数 级 下 降 。 在 比特 币 生 态 系统 里 ， 最 
常见 的 方法 是 等 6 个 确认 。 并 不 是 6 这 个 数字 有 什么 特殊 意义 ， 只 不 过 ， 这 样 
在 你 等 待 的 时 间 与 确认 你 所 感 兴趣 的 交易 被 纳入 长 期 共识 链 之 间 做 了 很 好 的 
平衡 。 

总 结 起 来 ， 防 止 不 正当 交易 完全 是 用 密码 学 的 方法 。 但 这 些 方法 被 共识 所 
加 强 ， 意 思 是 一 个 节点 如 果 想 放 进 一 个 密码 学 上 不 正当 的 交易 ， 这 个 交易 不 会 
被 纳入 长 期 共识 链 的 唯一 原因 是 绝 大 多 数 的 节点 是 诚实 的 ， 不 会 把 一 个 不 正当 
交易 放 进 区 块 链 。 另 外 ， 防 止 双 重 支付 攻击 完全 依赖 于 共识 ， 密 码 学 不 起 任何 
作用 。 从 密码 角度 来 看 ， 这 两 个 交易 都 是 正当 有 效 的 。 但 共识 可 以 能 决定 哪个 
被 放 进 长 期 共识 链 。 最 后 ， 你 无 法 百分之百 保证 你 感 兴趣 的 交易 被 放 进 了 长 期 
共识 链 。 但 指数 级 概率 保证 了 不 错 的 结果 ，6 笔 交易 过 后 ,实质 上 你 没有 犯错 的 
可 能 了 。 


了 如 后 文 总 结 时 所 说 ， 并 没有 一 个 固定 的 数字 ,但 6 是 个 常用 的 数目 。 一 一 译 者 注 


ww ai bbt.com DODODDDDOD 





50) 


入 Er- 
2 各 


比特 币 如 何 做 到 去 中 心 化 


2.4 奖励 机 制 与 工作 量 证 明 


在 前 面 的 章节 里 ， 我 们 简单 了 解 了 比特 币 的 共识 算法 ,以 及 为 什么 我 们 下 
觉 上 相信 它 是 安全 的 。 但 我 们 回想 在 本 章 一 开始 谈 到 的 ， 上 比特 币 的 去 中 心 化 一 
部 分 是 通过 技术 手段 ， 另 一 部 分 是 通过 聪明 的 激励 设计 来 实现 的 。 截 至 目前 ， 
我 们 主要 关注 的 还 是 技术 手段 。 现 在 ， 我 们 来 讨论 比特 币 的 这 个 激励 设计 。 

之 前 我 们 试图 大 胆 相信 这 样 的 假设 ， 在 我 们 随机 选取 节点 时 ， 至 少 有 50% 
的 可 能 会 选中 诚实 节点 ， 这 或 许 是 有 问题 的 。 如 果 对 颠覆 这 个 过 程 的 参与 者 有 
金钱 奖励 ， 这 个 关于 诚实 的 假设 就 格外 成 问题 ， 这 种 情况 下 我 们 无 法 真 的 假设 
某 个 节点 是 诚实 的 。 所 以 这 个 问题 变 成 了 : 我 们 是 否 可 以 给 予 表现 诚实 的 节点 
奖励 ? 

我 们 再 思考 下 一 个 确认 以 后 的 双重 支付 尝试 〈 见 图 2.3)。 我 们 是 否 可 以 惩 
罚 那个 创建 包含 双重 支付 区 块 的 节点 ? 好 吧 ， 其 实 不 行 。 就 像 我 们 前 面 说 的 ， 
因为 我 们 无 法 判断 哪 笔 交 易 是 道义 上 合法 的 。 即 使 我 们 知道 ， 我 们 也 很 难 惩罚 
它们 ， 因 为 节点 没有 身份 。 那 我 们 反 过 来 思考 ,我 们 是 否 可 以 奖励 那些 创造 的 


们 真实 世界 中 的 身份 ， 我 们 不 可 能 给 他 们 的 家 庭 地 址 寄 去 现金 。 要 是 有 某 种 可 
以 代 符 的 数字 储 币 …… 你 大 概 猜 到 该 怎么 做 的 。 我 们 可 以 用 比特 币 来 奖励 创造 
这 些 区 块 的 节点 。 

让 我 们 暂停 一 下 。 之 前 ， 我 们 讨论 的 都 是 用 抽象 的 算法 来 实现 分 布 式 共识 ， 
并 不 是 针对 某 个 具体 的 应 用 。 我 们 现在 要 跳出 模型 ， 使 用 事实 ,我 们 建立 这 个 
分 布 式 共识 过 程 的 应 用 实际 上 就 是 一 种 货币 。 明 确 地 说 ， 我 们 要 以 这 种 货币 为 
单位 奖励 那些 表现 诚实 的 节点 。 


区 块 奖励 
这 是 怎么 做 到 的 ”比特 币 里 有 两 种 不 同 的 奖励 机 制 。 其 中 一 个 就 是 区 块 奖 
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励 。 根 据 比 特 币 的 规则 ， 创 建 区 块 的 节点 可 以 在 这 个 区 块 中 加 入 一 笔 特别 的 交 
易 。 这 笔 交 易 就 是 一 个 造 币 的 交易 ， 类 似 于 财 奴 币 里 面 的 造 币 ， 区 点 可 以 指定 
这 笔 交 易 的 接收 地 址 。 当 然 ， 节 点 通常 都 会 选择 一 个 属于 自己 的 地 址 。 你 可 以 
把 这 视 为 对 节点 在 共识 链 上 进行 创建 区 块 服务 的 报酬 ， 

在 写本 书 时 ， 区 块 奖励 金额 定 在 25 个 比特 币 - 但 每 生成 210 000 个 区 块 ， 
金额 就 会 减 半 。 根 据 区 块 生 成 的 速度 ,我 们 可 以 看 到 ， 这 个 金额 大 概 每 4 年 减 
半 一 次 。 我 们 现在 处 在 第 二 个 4 年 。 比 特 币 存在 的 最 初 4 年， 区 块 奖励 金额 为 
50 个 比特 币 ， 现 在 是 25 个 比特 币 。 然 后 会 不 断 减 半 。 这 将 造成 一 些 有 意思 的 结 
果 ， 我 们 不 久 会 看 到 。 

你 可 能 会 问 为 什么 区 块 奖 励 能 做 到 或 励 诚实 行为 。 给 予 我 们 目前 讨论 的 ， 
从 表面 上 看 ， 这 个 二 点 无 论 提 以 一 | 都 会 受到 


奖励 。 但 其 实 并 非 如 此 ! 想 一 想 这 个 节点 是 如 何 收取 奖励 的 ?奖励 只 有 当 区 块 
最 终 被 纳入 长 期 共识 链 才 会 实现 。 enn 易 和 其 他 每 一 笔 交 易 一 样 ， 只 有 
当 它 最 终 被 纳入 共识 链 ， 才 会 被 其 他 市 点 接受 。 这 就 是 比特 币 奖 励 制 度 的 一 人 1 


关键 概念 。 这 是 一 个 十 分 微妙 却 十 分 强大 的 设计 。 这 个 设计 激励 节点 想方设法 
让 其 他 节点 延展 它们 自己 的 区 块 . 因此 如 果 网 络 中 大 部 分 节点 遵循 去 延展 最 长 
文 链 的 规则 ， 那 这 样 的 设计 将 激励 所 有 市 点 去 钵 循 这 个 规则 。 这 就 是 比特 币 的 
第 一 个 奖励 机 制 。 

我 们 前 面 提 到 每 产生 210 000 个 区 块 (大 约 4 年 )， 区 块 奖励 将 被 减 半 。 在 
加 2.4 中 ， 曲 线 的 和 斜 率 将 持续 减 半 。 这 是 一 个 等 比 数列 ， 你 可 能 知道 数列 的 总 
机 是 有 上 限 的 。 最 终 一 共 是 21 000 000 个 比特 币 

注意 ， 这 是 新 比特 币 被 允许 创造 出 来 的 唯一 途径 ， 没 有 任何 其 他 新 增 币 的 
机 制 。 所 以 这 是 为 什么 比特 币 最 终 的 数量 是 2 100 万 (至少 目前 的 规则 规定 是 这 
伴 ) 。 按照 现 在 奖励 发 放 的 速度 ， 到 了 2140 年 比特 币 区 块 奖励 就 发 完了 。 这 是 
合意 味 着 这 个 系统 到 了 2140 年 就 无 法 继续 运行 ， 并 且 因 为 不 再 有 奖励 诚实 行为 
的 激励 而 变 得 不 安全 呢 ? 不 是 这 样 的 。 因 为 区 块 奖励 只 是 比特 币 两 种 奖励 机 制 
SR 
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图 2.4 比特 币 的 总 供应 量 
注 : 区 块 奖励 每 4 年 减 半 一 次 ， 限 制 了 比特 币 的 供应 上 限 为 2 100 万 个 。 这 是 一 个 简化 的 模型 ， 
实际 中 的 曲线 会 有 轻微 的 差异 , 但 都 有 2 100 万 的 上 限 限 制 。 


交易 费 

比特 币 的 第 二 个 奖励 机 制 称 为 交易 费 。 任 何 交 易 的 制造 者 都 可 以 选择 让 交 
值 比 输入 值 小 。 第 一 个 创建 区 块 把 交易 放 进 区 块 链 的 人 可 以 取得 这 个 差 

， 作 为 交易 费 。 如 果 你 是 一 个 节点 ， 正 在 创建 一 个 包含 200 笔 交 易 的 区 块 ， 
a 这 200 笔 交 易 的 交易 费 将 会 被 付 到 你 放 在 区 块 内 的 那个 地 址 。 这 些 交 易 费 
现在 是 完全 自愿 的 ， 但 是 我 们 可 以 预见 ， 随 着 区 块 奖励 逐渐 发 完 ， 交 易 费 会 变 
ee 合理 的 服务 质 
量 。 从 某 种 程度 上 来 说 ， 这 已 经 开始 发 生 。 但 目前 还 不 清楚 这 个 系统 会 如 何 演 
这 取决 于 还 并 不 完善 pine 这 也 是 比特 币 一 个 很 有 趣 
的 人 研 究 领 域 ， 

我 们 在 描述 共识 机 制 时 还 有 一 些 问 题 没有 解答 。 第 一 个 主要 问题 是 我 们 要 
你 相信 这 样 的 假设 : 我 们 能 随机 选取 一 个 节点 。 第 二 个 是 因 奖 励 那些 节点 参与 
而 产生 的 新 间 题 : 如 果 大 家 都 想来 分 一 杯 北 成 为 一 个 节点 来 获得 这 些 奖 励 的 话 ， 
整个 系统 会 变 得 不 稳定 。 第 三 个 是 第 二 个 问题 的 复杂 版 ， 就 是 可 能 会 有 攻击 者 


TE 
人 
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创建 大 量 的 女巫 节点 来 尝试 题 获 整个 共识 过 程 。 


挖 矿 与 工作 量 证 明 

事实 证 明 ， 问题 都 是 相互 联系 的 ， 所 有 这 些 问题 都 有 相同 的 解决 办 
法 一 一 工作 量 证 明 ( proof of work ) 。 工 作 量 证 明 的 核心 理念 是 ， 我 们 把 随机 选 
取 节 点 改 为 根据 节点 占有 某 种 资源 的 比例 来 选取 节点 ， 我们 希望 这 种 资源 是 没 
有 人 可 以 垄断 的 。 比 如 说 ， 如 果 这 个 资源 是 计算 能 力 ， 财 我 们 称 之 为 工作 量 证 
明 系 统 。 或 者 这 个 资源 可 以 是 某 种 币 的 拥有 量 ， 我 们 称 之 为 权益 证 明 ( proof of 
stake) 。 虽 然 比 特 币 没有 使 用 ， 但 权益 证 明 也 是 另 一 种 合格 的 模式 ， 并 被 其 他 加 
9 闪 货 币 所 使 用 。 我 们 将 在 第 8 草 中 更 多 地 讨论 权益 证 明和 其 他 工作 量 证 明 的 

先 回 到 工作 量 证 明 。 我们 试 着 更 好 地 理解 根据 计算 能 力 来 选择 节点 到 底 是 
什么 意思 。 换 一 个 角度 理解 ,我们 是 允许 节点 用 它们 的 计算 能 力 来 互相 竞争 ， 
导致 的 结果 是 计算 能 力 的 比例 决定 了 市 点 被 日 动 选 中 的 概率 。 工 作 量 证 明 还 有 
一 种 理解 方式 ， 即 我 们 把 制造 新 身份 的 难度 适度 提高 了 。 这 就 好 像 是 对 制造 新 
身份 ， 继 而 对 女巫 攻击 收 税 一 样 。 这 听 起 来 好 像 有 点 模糊 ， 我 们 接 下 来 看 下 比 
特 币 使 用 时 工作 量 证 明 体系 的 细节 ， 事 情 就 变 得 清楚 多 了 。 

比特 币 是 用 哈 希 困 数 解 六 来 证 明 工 作 量 的 。 任 何 一 个 提议 并 创建 区 块 的 节 
点 想 要 制造 下 一 块 ， 这 个 节点 必须 要 找到 一 个 数 ， 或 者 我 们 把 它 称 为 临时 随机 
数 ( 见 第 1 草 1.1 市 )。 当 你 把 这 个 临时 随机 数 、 前 序 块 的 哈 希 值 还 有 要 填 进 这 
个 区 块 的 交易 列表 连接 起 来 ， 组 成 一 整 串 字符 ， 然 后 用 哈 布 顺 数 计算 这 一 整 串 
字符 的 输出 什 ， 这 个 输出 值 正 好 要 沙 在 一 个 相对 于 这 个 哈 硕 果 数 所 有 可 能 的 输 
出 中 很 小 的 目标 区 间 内 。 用 公式 来 表示 的 话 ， 就 是 临时 随机 数 要 满足 下 面 的 不 
等 式 : 


H (nonce || prev_hash || tx || tx|:… | tx) <target 


就 像 我 们 前 面 看 到 的 ， 通常 一 个 区 块 会 包含 这 个 节点 提议 的 一 系列 交易 。 
而 且 ， 这 个 区 块 还 会 包含 一 个 指 癌 前 序 区 块 的 哈 希 指针 (我 们 这 里 说 的 哈 希 指 
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针 是 一 个 宽泛 的 概念 。 这 个 指针 只 是 文本 中 的 字符 串 ， 它 并 不 需要 告诉 我 们 去 
哪里 找到 这 个 区 块 。 我 们 可 以 通过 在 网 上 询问 其 他 的 地 点 找到 区 其 。 重 要 的 十 ， 
这 个 哈 硕 值 既 作为 我 们 在 网 络 上 请 求 其 他 节点 寻找 区 块 的 ID， 又 能 够 让 获取 这 
个 区 块 后 验证 它 ) 。 除 此 之 外 ， 我 们 现在 还 要 求 区 块 包含 一 个 临时 随机 数 。 这 个 
想法 是 为 了 适度 提高 发 现 符合 要 求 的 临时 随机 数 的 难度 ， 即 把 包含 临时 随机 数 
在 内 的 整个 区 块 的 哈 希 值 组 合 到 一 起 ， 输 出 结果 要 是 一 种 特定 的 形式 。 如 来 险 
布 图 数 符合 我 们 在 第 1 革 中 所 描述 的 谜 题 友好 特性 ， 那 唯一 解 出 哈 希 迹 题 的 办 
法 就 是 去 试 足够 多 的 临时 随机 数 ， 直 到 成 功 为 止 。 有 具体 来 说 ， 如 采 这 个 日 标 区 
域 是 所 有 可 能 的 输出 的 1% ， 那 你 大 概 就 要 试 100 次 才能 成 功 。 事 实 上 ， 这 个 目 
标 区 域 远 比 输出 范围 的 1% 小 得 多 得 多 ， 我 们 后 面 就 能 看 到 泌 

用 这 种 哈 硕 冰 数 解 谜 以 及 工作 量 证 明 的 办 法 ,我们 可 以 完全 舍 茎 采取 那 种 
随机 选取 节点 的 办 法 。 这 些 节 点 在 苋 争 喻 希 晴 数 解 汪 的 过 程 中 一 直 部 是 互相 独 
立 的 。 有 时 一 个 布点 鸿运 当 涉 ， 正 好 发 现 一 个 临时 随机 数 可 以 满足 要 求 。 这 个 
幸运 的 节点 就 可 以 提议 创建 下 一 个 区 块 了 。 这 就 是 比特 币 系 统 实现 完 全 去 中 心 
化 的 方式 ,没有 任何 人 能 决定 谁 可 以 提交 下 一 区 块 。 


难于 计算 

哈 希 谜 题 有 三 个 重要 的 特性 。 第 一 个 特性 是 要 有 一 定 的 难度 。 我 们 前 面 说 
适度 的 难度 ， 其 实 你 马上 会 看 到 难度 实际 上 是 随时 间 而 改变 的 。 在 2014 年 年 
底 ， 产 生 一 个 区 块 平均 要 做 10” 次 哈 希 运算 。 换 言 之 ， 目 标 区 域 仅仅 是 整个 输 
出 范围 的 1/10”。 这 是 超大 的 计算 量 一 举例 来 说 ， 超 过 了 商业 化 笔记 本 电脑 
可 能 的 计算 范畴 。 因 此 ， 只 有 一些 节点 还 在 不 厌 其 烦 地 竞争 造 块 。 这 个 不 停 党 
坛 解 哈 希 谜 题 的 过 程 ， 就 是 我 们 听 说 的 比特 币 挖 矿 ， 参 与 挖 矿 的 节点 被 称 为 厂 





中 这 段 话 很 擂 口 ， 也 难 懂 。 打 个 比方 . 假如 你 是 个 炮兵 ， 那 些 前 序 区 块 哈 硕 值 加 上 所 有 要 打包 的 交 
易 就 是 烟 弹 ， 哈 希 陋 数 就 是 大 炮 ， 临 时 随机 数 就 好 比 瞄 准 器 ， 你 所 想 击 中 的 目标 ， 比 如 一 个 指挥 
所 ， 它 肯定 在 你 能 打 到 的 范围 内 ， 但 非常 小 ， 而 且 其 实 根 本 不 知道 在 哪里 。 击 中 日 标的 唯一 办 法 
是 狂 达 滥 炸 ， 这 就 是 比特 币 工 作 量 的 概念 ， 炸 的 越 多 ， 击 中 的 概率 越 高 。 如 果 这 个 指挥 所 的 目标 
区 域 是 释 击 区 域 1% 大 的 话 ， 你 大 概 平均 要 发 出 100 枚 炮弹 才 可 能 击 中 目标 。 泽 者 注 
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[。 尽 管 技术 上 每 个 人 都 可 以 成 为 矿工 ,但 由 于 挖 矿 的 高 成 本 导致 了 挖 矿 生态 
系统 要 消耗 大 量 能 源 。 


可 参数 化 成 本 

第 二 个 特性 是 ,我 们 希望 成 本 是 可 以 通过 参数 来 变化 的 ， 而 不 是 一 个 固定 
值 。 在 比特 币 的 点 对 点 网 络 里 ， 是 这 样 来 达到 这 一 特性 的 : 每 产生 2 016 个 区 块 
之 后 ,所 有 的 节点 都 会 自动 重新 计算 目标 区 域 相 对 于 整个 输出 范围 的 比例 大 小 ， 
使 得 后 续 的 区 块 产 生 的 时 间 间 隅 约 为 10 分 钟 。 两 个 区 块 之 间 的 平均 间 阳 是 10 
分 钟 ，2 016 个 区 块 就 需要 两 个 星期 。 所 以 大 约 每 两 个 星期 ， 目 标 区 域 的 大 小 会 
被 重新 计算 一 次 。 

我 们 想 一 下 这 意味 着 什么 。 如 有 果 你 是 个 矿工 ， 你 伦 了 一 定 的 费用 投资 了 一 
些 人 硬件 来 做 比特 币 挖 矿 。 但 是 整个 挖 矿 体 系 在 不 断 增加 ， 越 来 越 多 的 矿工 加 入 
这 个 行业 ,或 是 他 们 部 署 了 运算 越 来 越 快 的 便 件 设备 ， 那 两 个 星期 的 时 间 段 里 ， 
被 找到 的 区 块 可 能 比 预期 的 要 多 一 点 。 人 然后， 那些 市 点 就 会 日 动 调整 目标 区 域 ， 
你 要 找到 一 个 块 所 要 做 的 工作 量 就 随 之 增加 。 所 以 如 有 果 你 投了 一 笔 闫 定 资 金 在 
硬件 上 ， 你 找到 下 一 区 块 的 速率 实际 上 取决 于 其 他 矿工 在 做 什么 。 有 一 个 公式 
可 以 很 好 地 描述 这 一 点 : 任何 一 个 矿工 ， 比 如 爱丽 丝 ， 找 到 下 一 区 块 的 概率 ， 
就 相当 于 她 控制 的 计算 力 占 整个 全 球 计算 力 的 比例 。 这 意味 着 ， 如 果 爱 丽 丝 的 
挖 矿 设 备 的 计算 能 力 占 全 部 计算 能 力 的 0. 1% ， 那 大 概 每 产生 1 000 个 区 块 ， 她 
就 可 以 找到 一 个 区 块 。 

这 样 重 新 调整 的 目的 是 什么 ? 我们 为 什么 想 要 维持 10 分 钟 间 隅 不 变 ? 原因 
很 商 单 。 如 和 东区 块 产 生 的 间 隅 太 小 ， 就 会 造成 很 多 低 效 率 ， 我 们 还 会 失去 许多 
优化 上 的 好 处 ， 比 如 在 一 个 区 块 内 放 入 大 量 的 交易 。10 分 钟 并 没有 神奇 之 处 ， 
如 末 把 10 分 钟 下 调 到 5 分 钟 大 概 也 可 以 。 关 于 其 他 加 密 货 币 的 理想 区 块 间 隔 应 
该 是 多 少 ， 已 经 有 很 多 讨论 。 除 去 关于 理想 间隔 的 不 同意 见 ， 大 家 都 认为 应 该 
吓 个 周 定 的 值 。 它 不 允许 被 无 限 降低 。 这 就 是 为 什么 我 们 有 自动 重新 计算 目标 
区 域 的 特征 。 

这 个 成 本 遇 数 和 工作 量 证 明 的 设 定 方式 ， 让 我 们 重新 审视 比特 币 的 安全 假 
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设 。 现 在 我 们 终于 可 以 丢弃 之 前 让 你 盲目 相信 的 假设 。 不 必 再 去 说 那些 连 号 份 
都 没有 的 节点 大 多 数 是 诚实 的 了 ,诚实 具体 代表 什么 也 并 不 清楚 ， 我们 现在 可 
以 清楚 地 表述 ， 只 要 以 计算 能 力 为 权重 的 大 多 数 矿工 ， 尊 循 比特 币 协 议 ， 或 者 
说 是 诚实 的 ， 那么 比特 币 中 的 大 量 攻 击 就 部 没有 可 能 发 生 。 因 为 如 有 果 以 计算 能 
力 为 权重 的 大 多 数 矿工 是 诚实 的 ， 提 议 下 一 个 区 块 的 苋 争 会 日 动 保证 在 任意 时 
间 点 ， 下 一 个 区 块 至 少 有 50% 的 概率 是 由 一 个 诚实 证 点 提议 的 。 





全 矿工 行为 的 两 种 行为 模式 


在 分 布 式 系统 和 计算 安全 研究 领域 ， 假 设 一 定 比例 的 节点 是 诚实 的 ， 来 
展示 在 其 他 节点 表现 随意 的 情况 下 ， 系 统 如 何 按照 预期 运行 ， 是 很 常见 的 方 
法 。 这 是 我 们 采用 的 基础 方法 ， 除 了 以 计算 能 力 为 权重 计算 大 多 数 之 外 。 最 
初 的 比特 币 白皮书 也 包含 了 这 样 的 分 析 。 

但 博弈 论 领域 给 出 了 一 种 完全 不 同 的 ， 更 复杂 且 实 际 的 方法 来 决定 系统 
如 何 运行 。 这 个 观点 不 区 分 节点 诚实 或 恶意 ， 而 是 假设 每 个 节点 都 按 自己 的 
意愿 行动 。 每 个 六 点 考虑 其 他 节点 的 潜在 可 能 策略 之 后 ， 采 用 一 种 (随机 的 ) 
策略 最 大 化 自己 的 回报 。 如 果 协 议和 激励 机 制 设计 得 当 ， 大 多 数 节点 在 大 多 
数 时 候 会 遵循 这 个 规则 。" 诚实 ”的 行为 只 是 许多 策略 中 的 一 种 ， 我 们 在 道德 
上 并 不 依赖 于 此 。 

博弈 论 的 观点 认为 ， 最 大 的 问题 是 矿工 默认 的 行为 是 否 是 一 种 “纳什 均 
衡 ” ( Nash equilibrium) ， 即 这 是 否 代 表 了 一 种 稳定 的 状态 ， 在 这 种 状态 下 没 
有 市 点 可 以 通过 表现 不 诚实 而 获得 更 高 的 回报 。 针 对 这 个 问题 现在 各 界 仍 有 
争议 ， 并 且 是 一 个 活跃 的 研究 领域 。 


解 哈欠 谜 题 是 概率 性 的 ， 因 为 没有 人 可 以 预测 到 哪个 临时 随机 数 会 解 出 迹 
是。 唯一 的 方法 是 一 个 一 个 去 试 临时 随机 数 ， 并 硕 望 能 够 成 功 。 在 数学 上 ， 这 
角 称 为 们 努 利 试验 (Bernoulli uial) 。 伯 努 利 试验 是 一 种 有 两 种 可 能 结果 的 试验 ， 
在 连续 试验 下 ， 每 种 结果 发 生 的 概率 是 固定 的 。 在 这 里 ， 两 种 结果 是 哈 希 值 是 
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否 落 在 目标 区 域内 ， kien 
的 。 典 型 地 ， 节 点 多 次 尝试 临时 随机 数 的 伯 努 利 试验 是 一 个 离散 概率 过 程 

可 以 用 一 个 叫 作 泊 松 过 程 (Poisson process) 的 连续 概率 过 程 近似 表示 ， 
过 程 中 ,事件 以 固定 的 速率 独立 出 现 。 最 后 的 结果 是 ， 发 现下 一 个 区 块 所 需要 
时 间 的 概率 密度 函数 ， 见 图 2. 5. 





10 分 钟 


| 
| 


| 
| 
| 
| 
| 
| 


浴 


发 现下 一 个 区 块 的 时 间 ( 全 网 ) 
图 2.5 发 现下 一 个 区 块 所 需 时 间 的 概率 密度 函数 


这 被 称 为 指数 分 布 。 假 设 一 个 区 块 现在 被 发 行 ， 下 一 个 区 块 有 一 定 的 小 概 
率 很 快 被 发 现 ， 比 如 几 秒 钟 或 几 分 钟 。 也 有 一 定 的 小 概率 花 了 较 长 时 间 才 发 现 
下 一 个 区 块 ， 比 如 一 小 时 。 但 总 体 来 说 ,网络 会 目 动 调整 难度 使 得 区 块 间隔 时 
间 的 长 期 均值 维持 在 10 分 钟 。 注 意图 2. 5 表示 的 是 整个 网 络 内 区 块 被 创造 出 来 
的 频率 ， 而 不 是 哪个 矿工 事实 上 发 现 了 这 个 区 块 。 

如 果 你 是 一 名 和 矿工， 你 大 概 想 知道 要 多 长 时 间 才 能 找到 下 一 区 块 ? 这 个 概 
率 密度 函数 会 是 什么 样 ? 它 的 形状 会 相同 ,但 x 轴 的 坐标 不 一 样 。 可 以 用 一 个 
深 完 的 公式 表示 : 

对 于 某 个 特定 的 矿工 -: 

发 现下 一 区 块 的 平均 时 间 = 10 分 钟 / 占 全 部 计算 能 力 的 比例 


如 果 你 有 全 网 络 0. 1% 的 计算 能 力 ， 这 个 公式 告诉 我 们 ， 你 每 10 000 分 钟 
能 找到 一 个 区 块 ， 大 约 一 个 星期 。 不 仅 是 你 发 现 区 块 的 时 间 间 隅 非常 长 ， 时 间 
间 隅 的 波动 也 会 非常 大 。 因 此 产生 的 一 些 重要 结论 我 们 在 第 5 章 会 讲 到 。 
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易于 证 实 
现在 回 到 工作 量 证 明 函 数 第 三 个 重要 的 特性 ， 就 是 证 实 一 个 节点 正确 地 
计算 了 工作 量 证 明 很 容易 。 即 使 一 个 节点 要 尝试 10” 次 来 找到 使 区 块 哈 硕 值 
落 在 日 标 范围 内 的 临时 随机 数 ， 并 且 临 时 随机 数 必须 是 int 
公布 出 来 。 这 样 任何 其 他 市 phd 计算 它 的 哈 硕 值 ， 
实 它 的 输出 在 目标 区 域内 。 这 是 个 相当 重要 的 特征 ， 因 为 这 ita 
了 中 心 化 管理 。 i nn 
任何 节点 或 者 矿工 ， 都 可 以 迅速 地 证 实 其 他 矿工 找到 的 区 块 符 合 工 作 量 证 明 
的 规定 。 


挖 矿 成 本 

我 们 现在 来 看 一 下 挖 矿 经 济 学 。 前 文 提 到 过 ， 作 为 矿工 挖 矿 是 十 分 昂贵 的 
按 现在 的 难度 ， 找 到 下 一 个 单独 的 区 块 需要 计算 10 个 哈 希 值 ， 区 块 奖励 约 是 
25 个 比特 币 ， 按 照 现在 的 比特 币 汇 率 ， 是 不 小 的 一 笔 钱 。 这 些 数据 可 以 让 我 们 
简单 地 计算 出 挖 矿 是 否 赚钱 。 我 们 可 以 用 这 个 简单 的 逻辑 来 做 这 个 决定 : 


如 果 : 

它 矿 奖励 > 挖 矿 成 本 

那么 

矿工 赚钱 

条 件 是 : 

客 矿 奖励 = 区 块 奖励 + 交易 费 

宪 矿 成 本 = 硬件 成 本 + 运营 成 本 ( 电费、 空调 费 等 ) 
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基本 上 ， 和 矿工 的 控 矿 奖励 就 是 区 块 奖 励 和 交易 费 。 矿 工 上 月 己 与 总 的 文 出 相 
比较 ， 包 括 硬件 和 电费 成 本 。 

但 这 个 简单 的 公式 也 有 几 个 复杂 的 地 方 : 第 一 ， 硬 件 投资 是 固定 的 ， 但 
电费 是 个 变量 ， 随 时 间 变 化 。 第 二 个 复杂 之 处 是 , 矿工 得 到 的 奖励 取决 于 他 
们 发 现 区 块 的 速度 ， 这 不 仅 取决 于 他 们 硬件 的 能 力 ， 还 取决 于 他 们 的 计算 能 
力 占 全 球 计算 能 力 的 比例 。 第 三 是 挖 矿产 生 的 成 本 通常 是 用 美元 和 其 他 传统 
货币 表示 的 ， 但 他 们 得 到 的 奖励 是 比特 币 。 所 以 这 个 方程 在 任何 时 候 都 有 一 
个 隐藏 的 因素 ， 就 是 比特 币 的 汇率 。 第 四 ， 到 目前 为 止 ， 我 们 都 假设 矿工 会 
诚实 地 遵守 协议 。 但 矿工 有 可 能 选择 用 一 些 其 他 的 挖 矿 策略 ， 而 不 总 是 试图 
延展 最 长 的 有 效 分 文 。 所 以 这 个 方程 没有 宫 括 所 有 矿工 可 以 用 到 的 不 同 策略 
的 细微 差别 。 事 实 上 ， 要 想 分 析 挖 矿 是 否 有 意义 ， 是 一 个 博弈 论 问题 ， 没 有 
那么 容易 找到 答案 。 

到 此 为 止 ， 我 们 已 经 较 好 地 理解 了 比特 币 如 何 实现 去 中 心 化 。 我 们 现在 总 
结 一 些 关 键 点 ， 放 在 一 起 以 便 更 好 地 理解 。 

我 们 首先 从 号 份 开始 。 根 据 我 们 知道 的 ， 比 特 币 协议 不 需要 真实 世界 的 身 
份 就 可 以 参与 。 任 何 用 户 任 何 时 刻 都 可 以 制造 一 对 匿名 的 钥 是 。 如 果 爱 丽 丝 想 
付 给 鲍 动 比特 币 ， 比 特 币 协议 里 没有 详细 说 明 爱 丽 丝 如 何 得 知 鲍 支 的 地 址 。 在 
这 些 匿名 的 钥匙 对 用 作 号 份 的 情况 下 ,交易 其 实 是 向 整个 点 对 点 网 络 广 播 的 信 
奶 ， 把 比特 币 从 一 个 地 址 转 到 为 一 个 地 址 。 比 特 币 只 是 交易 输出 ， 我 们 在 下 一 
曹 廊 会 深入 讨论 这 个 问题 ， 





人 不 存在 所 谓 “1 比特 币 ” 这 样 的 东西 


比特 币 没 有 固定 面额 ， 不 像 美元 。 具 体 来 说 ,没有 “1 比特 币 ” 这 样 的 
特别 名 称 。 上 比特 币 只 不 过 是 交易 输出 ， 在 现在 的 规则 里 ， 它 们 可 以 是 精确 到 
小 数 点 后 8 位 的 任意 值 。 可 能 的 最 小 价值 是 0. 000 000 01 BTC (比特 币 )， 我 
们 称 之 为 1 个 中 本 聪 (比特 币 的 发 明 人 )。 
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比特 币 点 对 点 网 络 的 目标 ， 是 把 所 有 新 的 交易 与 新 的 区 块 传播 到 所 有 比特 
币 节点 。 但 这 个 网 络 很 不 完美 ， 只 能 尽 其 所 能 来 传递 信息 。 这 个 系统 的 安全 性 
不 是 来 自 点 对 点 网 络 的 完美 ， 而 是 来 自我 们 本 章 中 重点 讨论 的 区 块 链 和 共识 
协议 。 

当 我 们 说 一 个 交易 被 放 进 了 区 块 链 ， 我们 真实 的 意思 是 这 笔 交 易 已 被 确 
认 了 许多 次 。 对 于 多 少 次 确认 足以 让 我 们 确信 交易 已 包含 在 内 ， 并 没有 一 个 
固定 的 数字 , 但 6 次 是 个 常用 的 数目 。 一 笔 交 易 收 到 的 确认 越 多 ， 你 就 越 可 
以 确信 这 笔 交 易 被 放 进 了 区 块 链 。 经 常会 有 一 些 孤 块 ， 或 者 没有 进入 共识 链 
的 区 块 。 有 很 多 原因 可 以 导致 一 个 区 块 变 为 扳 块 。 这 个 区 块 可 能 包含 一 个 不 
正当 交易 ,或 者 试图 双重 支付 。 也 有 可 能 是 网 络 延 返 ， 这 里 指 的 是 ， 两 个 矿 
工 可 能 相隔 几 秒 找到 了 新 的 区 块 ， 这 两 块 几乎 同时 被 广播 到 网 上 ， 那 其 中 一 
块 肯定 会 被 丢弃 。 

最 后 我 们 看 了 哈 希 谜 题 与 挖 矿 。 矿工 是 决定 参与 创造 新 区 块 竞争 的 特殊 类 
型 节点 。 如 果 其 他 矿工 继续 在 他 们 的 区 块 上 搭建 的 话 ， 对 于 他 们 努力 的 回报 是 
新 造 的 比特 币 (新 区 块 奖励 ) 和 已 经 人 存在 的 比特 币 (交易 费 )。 很 微妙 也 很 重 
要 的 一 点 是 : 假设 爱丽 丝 比 鲍 动 的 计算 能 力 要 强大 100 们 ,但 这 并 不 意味 着 爱 
丽 丝 一 定 能 够 局 得 找到 下 一 区 块 的 竞赛 ， 而 是 爱丽 丝 和 鲍 勃 发 现 新 区 块 的 概率 
比率 是 100 : 1。 长 期 下 来 ， 鲍 动 找 到 的 区 块 数量 是 爱丽 丝 的 1Z100。 

我 们 预计 矿工 们 会 处 在 经 济 平衡 点 附近 ， 意 味 着 他 们 得 到 的 奖励 大 致 等 
于 他 们 在 硬件 与 电费 上 的 花费 。 理由 是 如 果 一 个 矿工 持续 亏 钱 ， 他 会 停止 控 
矿 。 反 之 ， 如 果 人 硬件 和 电费 问 定 的 情况 下 ， 控 矿 利 润 很 高 ， 那 更 多 的 控 矿 设 
备 会 加 入 网 络 。 计 算 能 力 的 增加 会 导致 难度 提高 ， 每 个 矿工 预期 的 回报 便 会 
降低 。 

比特 币 深度 使 用 了 分 布 式 共识 的 概念 。 在 传统 货币 系统 中 ,共识 的 作用 是 
有 限 的 。 具 体 来 说 ， 有 一 个 共识 过 程 来 决定 货币 的 汇率 。 这 在 比特 币 里 当然 也 
是 对 的 一 一 我 们 需要 围绕 比特 币 价 值 的 共识 。 但 在 比特 币 里 ,我 们 还 需要 对 账 
本 情况 的 共识 ,这 是 由 区 块 链 来 完成 的 。 换 句 话说 ， 其 至 你 拥有 多 少 比 特 币 的 
算法 都 是 依赖 共识 的 。 当 我 们 说 爱丽 丝 拥有 一 定数 量 的 比特 币 ， 我们 真实 的 意 
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思 是 说 在 比特 币 点 对 点 网 络 ， 在 区 块 链 中 记录 的 所 有 爱丽 丝 地 址 上 拥有 的 比特 
币 数 量 总 额 。 这 是 比特 币 系 统 的 一 个 终极 真相 : 拥有 比特 币 就 是 其 他 世 点 对 给 
定 的 一 方 拥 有 这 些 比特 币 的 共识 。 

最 后 ， 我 们 必须 对 整个 系统 的 规则 达成 共识 ， 系 统 规则 有 时 不 得 不 改变 。 
比特 币 规则 改变 有 两 种 : 对 应 为 软 分 叉 与 硬 分 又 。 我 们 把 关于 它们 区 别 的 详细 
讨论 放 到 第 3 章 和 第 7 草 中 。 


启动 加 密 货币 

另 一 个 微妙 的 概念 是 “ 自 举 过 程 ” (bootstrapping) 。 比 特 币 系统 里 三 个 不 同 
的 想法 一 一 区 块 链 的 安全 性 、 挖 矿 生态 系统 的 健康 程度 ， 以 及 货币 的 价值 在 相 
互 作用 。 我 们 显然 希望 区 块 链 安全 ， 这 样 比特 币 才能 成 为 一 种 可 行 的 货币 。 想 


不 能 够 制造 一 大 堆 控 矿 节 点 来 占据 50% 以 上 的 新 区 块 生成 。 

但 如 何 实现 这 一 点 呢 ?” 前 提 条 件 是 有 一 个 健康 的 挖 矿 生态 系统 ， 其 中 大 部 
分 节点 是 诚实 的 、 遵 守 协 议 的 。 但 健康 的 挖 矿 生态 系统 的 前 提 条 件 又 是 什么 
呢 一 一 我 们 什么 时 候 可 以 保证 大 多 数 矿 工会 把 大 多 数 计算 能 力 运用 到 解 哈 硕 迹 
题 的 竞争 中 呢 ? 好 吧 ， 只 有 在 比特 币 价 位 高 时 他 们 才 会 这 么 做 ， 因 为 他 们 收 到 
的 奖励 是 比特 币 而 他 们 的 花费 都 是 美元 。 所 以 币 的 价值 越 高 ， 矿 工 就 越 有 动力 
这 么 做 。 

那 如 何 保障 币 的 价值 又 高 义 稳定 呢 ?” 只 有 用 户 普遍 相信 区 块 链 的 安全 性 才 
会 发 生 。 如 果 他 们 认为 网 络 随时 会 被 攻击 者 颠 窗 ， 那 比特 币 作 为 货币 将 一 文 不 
值 。 所 以 你 可 以 看 到 区 块 链 的 安全 性 、 挖 矿 生 态 系 统 的 健康 程度 和 货币 的 价值 
这 三 者 之 间 相 互 依赖 、 相 互 作用 的 关系 。 

因为 这 三 者 之 间 的 循环 依赖 天 系 ， 其 中 一 个 的 存在 可 以 用 另 一 个 的 存在 推 
测 出 来 。 在 比特 币 初创 之 时 ,这 三 者 部 不 存在 。 除 了 中 本 聪 自己 , 没有 人 在 运 
行 挖 矿 软 件 。 比 特 币 作为 货币 没有 什么 价值 。 事 实 上 ， 因 为 没有 很 多 人 挖 矿 ， 
区 块 链 也 很 不 安全 ， 任 何人 都 可 以 轻易 颠覆 这 个 过 程 。 

这 三 者 在 比特 币 的 世界 如 何 从 无 到 有 并 没有 一 个 简单 的 解释 。 媒 体 的 关注 
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是 其 中 一 个 因素 一 一 听 到 比特 币 的 人 越 多 ， 感 兴趣 挖 矿 的 人 就 越 多 。 挖 矿 的 人 
越 多 ， 人 们 就 会 对 区 块 链 的 安全 越 有 信心 ， 因 为 更 多 挖 矿 活 动 在 进行 ， 以 此 类 
推 。 附 带 提 下 ， 每 种 其 他 虚拟 货币 想 要 成 功 也 需要 想 办 法 通过 目 举 过 程 解决 这 
个 问题 。 


51% 攻 击 

我 们 考虑 一 下 如 果 共 识 失 败 ， 并 且 存 在 一 个 在 比特 币 网 络 里 实际 掌握 了 绝 
大 部 分 挖 矿 计算 能 力 的 51% 攻击 者 ,会 发 生 什 么 情况 。 我 们 考虑 多 种 可 能 的 攻 
击 ， 分 析 哪 些 可 能 被 这 样 的 攻击 者 实际 使 用 。 

首先 ， 攻 击 者 可 以 从 现存 的 地 址 里 偷 币 吗 ? 你 可 能 猜 到 了 ， 不行 ， 因 为 除 
非 你 能 推翻 加 密 方法 ， 和 否则 从 现存 地 址 偷 币 是 不 可 能 的 。 它 不 足以 颠覆 共识 过 
程 。 这 样 说 还 不 是 很 清楚 。 我 们 不 妨 假设 ，51% 攻击 者 制造 了 一 个 不 正当 的 区 
块 ， 里 面 有 一 笔 不 正当 交易 把 币 从 不 受 其 控制 的 地 址 转移 到 目 己 的 地 址 。 攻 击 
者 可 以 假装 这 是 一 笔 正 当 的 交易 ， 继 续 在 这 个 区 块 上 建造 ， 甚 至 可 以 把 它 变 成 
一 个 最 长 的 支 链 。 但 其 他 诚实 市 点 不 会 简单 地 接受 这 个 存在 不 正当 交易 的 区 块 ， 
它们 还 是 会 在 网 络 中 找到 之 前 最 后 一 个 正当 的 区 块 ， 基 于 此 继续 挖 矿 。 所 以 将 
会 发 生 的 是 ， 链 上 出 现 了 我 们 称 之 为 分 又 的 情况 。 

现在 想象 一 下 这 个 攻击 者 想 把 这 些 非法 的 币 花 掉 ， 付 给 某 个 商家 鲍 勃 用 来 
天 他 的 商品 或 者 服务 。 鲍 勃 可 以 假定 运行 着 自己 的 比特 币 节 点 ， 而 且 是 一 个 诚 
实 广 点。 那 鲍 支 的 证 点 会 因为 含有 不 正当 的 交易 而 拒绝 这 个 非法 的 分 支 。 因 为 
那里 面 的 数字 签名 不 吻合 。 所 以 鲍 动 的 节点 会 忽略 这 个 最 长 的 支 链 ， 因 为 这 是 
一 个 非法 的 文 链 。 而 因此 ， 这 不 足以 颠覆 共识 。 你 需要 推翻 加 密 方法 偷 取 比 特 
币 。 所 以 我 们 认为 ， 这 个 攻击 对 51% 攻击 者 来 说 是 不 可 能 的 。 

我 们 应 该 注意 到 这 是 一 个 想象 的 实验 。 如 果实 际 中 真 的 有 51% 攻击 的 迹象 ， 
可 能 会 发 生 的 是 开发 者 会 注意 到 并 采取 应 对 措施 。 他 们 会 升级 比特 币 软 件 ， 我 
们 可 以 期 每 系统 规则 (包括 点 对 点 网 络 ) 可 能 会 做 出 改变 ,使 得 这 样 的 攻击 难 
以 成 功 。 但 我 们 无 法 准确 预测 。 所 以 ,我 们 是 在 一 个 简化 的 模型 上 讨论 51% 攻 
击 ， 但 除 此 之 外 系统 规则 并 没有 改变 和 扭曲 。 
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我 们 考虑 男 一 种 攻击 。51% 攻击 者 可 以 压制 其 他 交易 吗 ? 比如 攻击 者 特 
别 讨厌 某 个 用 户 卡 罗 尔 。 他 知道 卡 罗 尔 一 些 地 址 ， 想 使 属于 这 些 地 址 的 币 都 
无 法 使 用 。 这 可 能 吗 ? 由 于 攻击 者 控制 了 区 块 链 的 共识 过 程 ， 他 可 以 轻易 地 
拒绝 创造 包含 来 自 卡 罗 尔 地 址 的 交易 的 新 区 块 ， 他 还 可 以 进一步 拒绝 在 含有 
类 似 交 易 的 区 块 上 延展 。 但 他 不 能 阻止 这 个 交易 被 广播 到 整个 点 对 点 网 络 ， 
因为 网 络 不 依赖 于 区 块 链 或 者 共识 ， 我 们 假设 攻击 者 还 没完 全 擎 控 网 络 。 他 
不 能 阻止 这 个 交易 被 发 送 到 绝 大 部 分 节点 上 ， 所 以 即使 他 成 功 了 了 ， 大 家 也 都 
知道 发 生 了 攻击 。 

攻击 者 可 以 改变 区 块 奖励 吗 ” 比 如 说 攻击 者 开始 假装 把 区 块 奖励 由 25 个 币 
改 成 100 个 币 ?” 这 是 对 系统 规则 的 改动 ， 因 为 他 没有 控制 所 有 诚实 节点 上 运行 
着 的 比特 币 软件 备份 ， 所 以 同样 不 可 能 。 这 和 为 什么 攻击 者 无 法 装 人 一 笔 非 法 
交易 的 道理 是 一 样 的 。 其 他 市 点 不 会 轻易 认可 区 块 奖励 提高 ， 所 以 他 也 无 法 使 
用 这 些 区 块 .。 

最 后 ， 这 个 攻击 者 会 摧毁 大 家 对 比特 币 的 信心 吗 ? 好 吧 ， 让 我 们 想象 一 下 
会 发 生 什 么 。 如 果 有 很 多 双重 文 付 尝试， 诸如 节点 不 延展 最 长 的 有 效 分 支 ， 以 
及 发 生 其 他 攻击 ， 那 么 人 们 有 可 能 会 觉得 比特 币 不 再 是 一 个 他 们 可 以 信赖 的 去 
中 心 化 账 短 。 人 们 会 对 赁 币 失 去 信心 ,我 们 可 以 预料 到 比特 币 汇率 会 重 挫 。 实 
际 上 ， 如 果 人 们 知道 有 一 方 控制 了 5S1% 的 哈 希 算 力 (hash power) ， 即 使 这 个 人 
没有 发 动 任何 攻击 ， 大 家 也 可 能 会 对 比特 币 失 去 信心 。 所 以 ， 这 不 仅仅 是 可 能 ， 
事实 上 任何 形式 的 51% 攻击 都 会 挫 毁 大 家 对 货币 的 信心 。 这 其 实 是 S1% 攻击 可 
以 实现 的 最 主要 的 实际 威胁 。 考 虑 到 在 攻击 比特 币 ， 实 现 51% 多 数 的 过 程 中 ， 
财政 角度 的 巨大 花费 ， 我 们 讨论 的 这 些 攻击 都 会 变 得 不 切实 际 。 

我 们 希望 至 此 你 对 比特 币 的 去 中 心 化 管理 有 了 一 个 完整 的 了 解 。 你 也 应 该 
理解 了 比特 币 里 的 身份 如 何 工作 、 交 易 是 如 何 被 传播 和 验证 的 、 比 特 币 里 点 对 
忆 网 络 的 作用 、 如 何 用 区 块 链 达成 共识 、 函 数 难 题 与 挖 矿 是 怎么 回 事 。 这 些 概 
念 为 理解 比特 币 的 更 多 微妙 细节 和 细微 差别 提供 了 坚实 的 理论 基础 ， 是 一 个 良 
好 的 出 发 点 。 这 些 我 们 在 后 续 章 节 中 会 进一步 看 到 。 
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在 这 一 章 我 们 重点 前 析 一 下 比特 币 的 运行 机 制 。 前 两 草 里 ， 我 们 是 在 相对 
泛泛 的 层面 讨论 了 比特 币 ， 在 这 一 曹 中 我 们 将 次 和 细节， 真正 近 距 离 地 了 解 比 
特 币 所 使 用 的 数据 结构 、 实 际 脚 本 以 及 语言 ， 这 种 较为 精准 的 介绍 会 为 本 书后 
面 的 章节 建立 场景 。 这 一 章 会 有 大 量 细节 性 的 信息 ， 极 具 挑 战 。 本 章 可 以 帮助 
我 们 真正 懂得 比特 币 的 实质 。 

如 第 2 革 所 述 ， 比 特 币 的 共识 机 制 设 定 了 一 个 只 允许 往 里 写 和 人 的 账 夭 ， 而 
目 一 旦 数据 被 写 入 ， 它 将 永远 被 储存 在 那里 。 去 中 心 化 (或 者 分 布 式 ) 协议 确 
保 了 账簿 中 存储 数据 的 共识 ， 而 矿工 会 执行 协议 并 确认 交易 ， 这 些 机 制 可 以 确 
保 每 一 笔 交 易 都 是 真实 发 生 的 ， 而 且 账 簿 中 的 每 一 个 比特 币 都 没有 被 使 用 过 ， 
这 样 ， 这 个 账 短 从 功能 上 就 形成 了 一 种 货币 系统 。 同 时 ， 我 们 也 假设 ， 可 以 使 
用 赁 币 奖励 矿工 ， 使 矿工 有 积极 地 完成 记 账 操作 的 动力 。 在 本 章 中 ， 我 们 将 详 
细 介 绍 如 何 建立 货币 系统 、 如 何 奖 励 矿工 ， 从 而 保证 整个 流程 有 序 运 行 。 


3.1 比特 币 的 交易 


让 我 们 先 一 起 看 一 下 比特 币 的 交易 ， 比 特 币 交易 的 过 程 其 实 就 是 不 停 地 创 
造 区 块 的 过 程 ， 为 了 理解 上 的 方便 ， 我 们 先 看 一 个 简单 模式 的 账 短 ， 在 这 个 账 
海里 ， 每 一 笔 交 易 依 次 被 添加 到 账簿 里 。 

那 我 们 如 何 使 用 这 个 账 短 来 创造 一 种 货币 呢 ? 首先 你 可 能 想到 (也 是 许多 
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人 误 认 作 比 特 币 使 用 的 方式 ) : 建立 一 个 以 账户 为 核心 的 系统 ， 可 以 创造 新 的 币 
并 且 放 入 某 人 的 账号 ， 然 后 就 可 以 转 给 其 他 人 了 。 一 笔 交 易 的 信息 就 像 这 样 : 
“把 爱丽 丝 账户 里 17 个 币 转 给 鲍 扫 ”， 然 后 由 爱丽 丝 签名 。 我 们 从 图 3.1 可 以 看 
到 ， 爱 丽 丝 在 第 一 笔 交易 里 收 到 25 个 币 ， 然 后 转 了 17 个 币 给 鲍 势 ， 她 的 账户 
里 应 该 还 有 8 个 币 。 


系统 制造 了 25 个 币 给 爱丽 丝 ， 由 矿工 确认 
爱丽 丝 转 了 17 个 币 给 饱 孝 ， 巾 爱丽 丝 签名 


鲍 动 转 了 8 个 币 给 卡 史 尔 ， 由 鲍 勃 签名 
卡 罗 尔 转 了 5 个 币 给 爱丽 丝 ， 由 卡 罗 尔 签名 
爱丽 丝 转 了 15 个 币 给 戴 维 ， 由 爱丽 丝 签 名 





3.1 基于 账户 的 账 短 


这 么 做 的 不 便 之 处 在 于 ， 任 何人 如 果 想 要 确认 一 笔 交 易 是 否 真 实 ， 就 必须 
跟踪 每 一 个 账户 的 余额 。 让 我 们 再 看 一 下 网 3.1， 当 爱丽 丝 想 要 转 给 戴 维 15 个 
币 的 时 候 她 是 否 真 的 有 15 个 币 呢 ”为 了 搞 清 楚 这 个 问题 ， 我 们 必须 回 过 头 去 看 
和 爱丽 丝 有 关 的 所 有 交易 ， 并 加 总 来 确认 当时 的 余额 。 当 然 ， 我 们 可 以 有 一 些 
更 有 效 的 办 法 ， 比 如 另外 增加 一 个 数据 字段 ， 用 来 更 新 每 次 交易 后 的 账户 余额 ， 
但 这 也 增加 了 记 账 的 工作 量 。 

所 以 ， 比 特 币 并 没有 用 这 种 记 账 方式 ， 而 是 用 了 我 们 在 第 1 章 1.5 节 里 提 
到 的 “ 财 奴 币 ” 相 类 似 的 方法 来 记录 交易 。 

这 种 方式 就 像 财 奴 币 里 的 付 币 ,每 个 交易 中 都 有 一 个 输入 值 和 输出 值 。 输 入 
全 可 以 看 成 是 将 被 消费 掉 的 币 (这 些 币 是 前 一 个 交易 创造 出 来 的 )， 把 输出 看 成 是 
在 本 次 交易 中 创造 出 来 的 币 。 铸 造 新 币 时 ， 只 会 创造 新 币 ， 而 不 会 消费 旧 币 (就 像 
财 奴 币 里 的 造 币 ， 只 有 输出 .没有 输入 ) 。 每 笔 交 易 都 有 一 个 独一无二 的 ID。 每 笔 交 
多 中 可 能 有 多 个 输出 ， 输 出 的 索引 从 0 开始 ， 所 以 我 们 称 第 一 个 输出 为 “输出 0” 

我 们 现在 来 看 图 3.2。 交 易 1] 是 铸造 新 币 的 交易 ， 因 此 没有 和 输入， 也 没有 签 
名 ; 交易 1 工 的 输出 是 加 爱丽 丝 转移 25 个 币 。 现在， 爱丽 丝 想 把 一 些 币 转 给 鲍 
荡 ， 她 就 创造 了 一 条 新 的 交易 ， 这 就 是 图 3.2 中 的 交易 2。 在 交易 里 ， 她 必须 明 
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确 指出 要 转 出 的 币 的 来 源 (引用 之 前 的 某 笔 交易 ) 。 爱 丽 丝 指 出 本 次 交易 的 币 来 
自 交 易 1 中 的 输出 0 (也 是 交易 1 中 的 唯一 输出 ) ， 即 向 爱丽 丝 转 移 25 个 币 。 交 
易 中 ， 爱 丽 丝 还 要 明确 收 款 人 一 一 也 就 是 输出 的 地 址 ， 在 这 个 例子 里 ， 有 两 个 
输出 ， 一 个 是 转 17 个 币 给 鲍 勃 ， 另 一 个 是 转 8 个 币 给 爱丽 丝 自己 。 当 然 ， 整 个 
交易 由 爱丽 丝 签名 ， 这 样 ， 大 家 就 知道 这 笔 交 易 爱 丽 丝 是 确实 授权 了 的 。 


1 输入 : 0 
输出 : 25.0 一 爱丽 丝 


输入 : 1[01] 

: 17.0 一 佰 芝 ，8.0 一 爱丽 丝 由 爱丽 丝 签名 
人 1 用 
:8.0 一 卡 罗 尔 ，9.0 一 饱 亏 
11 
: 6.0 一 戴 维 ，2.0 一 爱丽 丝 由 爱丽 丝 签名 














由 鲍 勃 签名 






图 3.2 与 比特 币 类 似 的 基于 交易 的 账本 


地 址 转换 。 在 这 个 例子 里 ， 为 什么 爱丽 丝 要 把 币 转 给 自己 呢 ? 事实 上 比特 币 
就 像 财 奴 币 中 描述 的 币 一 样 ， 一 个 交易 中 输出 的 币 ， 要 么 在 为 一 个 交易 中 被 完 
消费 皖 ， 要 么 就 一 个 都 不 被 消费 ， 不 存在 只 消费 部 分 的 情况 。 爱 丽 丝 只 需 付 给 鲍 
近 17 个 币 , 但 爱丽 丝 在 上 一 交易 中 实际 获得 了 25 个 币 ， 为 了 把 这 些 币 全 部 消费 
掉 ， 她 必须 再 转 给 自己 8 个 币 。 这 8 个 币 可 以 转 到 另外 一 个 地 址 〈 不 同 于 交易 ] 
中 获得 25 个 币 的 地 址 ) ， 但 前 提 是 该 地 址 为 爱丽 丝 所 有 ， 这 就 叫 地 址 转换 。 

有 效 验 证 。 当 一 个 新 的 交易 被 加 入 总 账 ， 它 的 有 效 性 是 否 容易 被 验证 ”在 这 
个 例子 里 ， 我 们 要 核查 一 下 爱丽 丝 引用 的 交易 输出 ， 确 认 她 确实 有 25 个 币 没 有 被 
化 费 掉 。 因 为 我 们 使 用 了 哈 希 指针 ， 所 以 核查 很 快 。 为 了 确认 这 25 个 币 没 有 被 花 
反 ， 我 们 只 需 从 爱丽 丝 所 引用 的 交易 开始 ， 一 直 核 查 到 账本 上 最 新 记录 的 交易 为 
止 即 可 一 一 而 不 需要 从 账本 建立 之 初 的 交易 开始 核查 。 而且， 这 种 方法 也 不 需要 增 
加 额外 的 数据 纺 构 当然 ， 我 们 将 会 看 到 ， 加 入 新 的 数据 结构 将 进一步 提高 速度 ) 。 

资金 合并 。 和 财 奴 币 一 样 ， 比 特 币 交易 可 能 有 许多 输入 与 输出 ， 资 金 分 隔 
配合 并 也 很 容易 。 假 如 鲍 勃 在 两 笔 不 同 的 交易 中 分 别 收 到 17 个 币 和 2 个 币 ， 现 
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在 他 想 把 这 两 笔 钱 合 并 起 来 花 掉 ， 这 很 容易 ， 他 只 需 发 起 一 个 交易 ， 交 易 里 有 
两 个 输入 和 一 个 输出 ， 输 出 的 地 址 是 他 自己 的 地 址 ， 这 样 ， 鲍 勃 就 把 两 个 交易 
合 二 为 一 了 。 


共同 支付 。 同 样 地 ， 共 同 支 付 也 很 容易 做 到 。 如 果 卡 罗 尔 和 人 鲍 支 想 要 共同 


支付 给 戴 维 ， 他们 可 以 发 起 一 个 交易 ， 交 易 里 也 有 两 个 输入 和 一 个 输出 ， 唯 一 
不 同 在 于 ， 两 个 输入 所 引用 的 “上 一 笔 交 易 ” 的 输出 地 址 不 同 ， 因 此 ， 这 笔 交 
易 需 要 两 个 签名 : 卡 罗 尔 的 和 鲍 动 的 。 


交易 语法 。 上 比特 币 交 易 涉 及 的 概念 就 是 上 面 这 些 。 我 们 再 来 看 看 比特 币 交 易 


在 底层 是 如 何 实现 的 。 实 际 上 ， 比 特 币 在 网 络 上 传输 的 数据 结构 都 是 一 串 字 符 ， 
图 3. 3 显示 了 一 个 真实 的 程序 ， 经 过 编译 就 会 变 成 供 机 顺 执 行 的 二 进 制 代 码 了 。 


{ 
"hash":"5a42590fbe0a90ee8e8747244d6c84f0db1a3a24e8f1b95b10c9e050990b8b6b"， 
We 1, 
"in 2 


元 数据 "vout sz" :1, 


输入 }， 


输出 


"lock time":0, 
"size" :404， 
“En sl 
{ 
"prev_out":{ 
"hash":"3be4ac9728a0823cf5e2deb2e86fc0bd2aa503a91d307b42ba76117d79280260",， 
i 
}， 
"scriptSig":"30440..." 


{ 

"prev_out":{ 
"hash":"7508e6ab259b4df0fd5147bab0c949d81473db4518f81afc5c3f52f91ff6b34e"， 
入 冶 

}, 

"scriptSig":"3f3a4..." 


"value":"10.12287097",， 
“scriptPubKey":"OP DUP OP_ HASH160 69e02e18b5705a05dd6b28ed517716c894b3d42e 
OP EQUALVERIFY OP CHECKSIG" 


3.3 一 个 真实 的 比特 币 交 易 程序 段 


ww ai bbt.com DODODDDDOD 





第 3 章 
比特 币 的 运行 机 制 


从 图 3.3 可 以 看 到 ， 一 个 比特 币 交 易 分 成 三 部 分 : 元 数据 、 一 系列 的 输入 
和 一 系列 的 输出 。 


元 数据 。 这 里 存放 一 些 内 部 处 理 的 信息 : 包含 这 笔 交 易 的 规模 、 输 入 的 
数量 、 输 出 的 数量 ， 还 有 此 笔 交 易 的 哈 布 值 ， 也 就 是 这 个 交易 独一无二 
的 ID。 我 们 可 以 用 哈 硕 指针 指 同 这 个 站。 最 后 还 有 一 个 “锁定 时 间 ” 
(lock_time) ， 我 们 后 面 会 谈 到 。 

输入 。 所 有 输入 排 成 一 个 序列 ， 每 个 输入 的 格式 都 是 一 样 的 。 输 入 需要 
明确 说 明之 前 一 笔 交 易 的 某 个 输出 ， 因 此 它 包 括 之 前 那 笔 交 易 的 哈 希 
值 ， 使 其 成 为 指向 那个 特定 交易 的 哈 希 指针 。 这 个 输入 部 分 同时 包括 之 
前 交易 输出 的 索引 和 一 个 签名 : 我 们 必须 有 签名 来 证 明 我 们 有 资格 去 支 
配 这 笔 比 特 币 。 

输出 。 所 有 输出 也 排 成 一 个 序列 。 每 个 输出 的 内 容 分 成 两 部 分 。 所 有 输 
出 的 金额 之 和 必须 小 于 或 等 于 输入 的 金额 之 和 。 当 输出 的 总 金额 小 于 输 
入 总 金额 时 ， 输 出 的 总 金额 与 输入 的 总 金额 的 差额 部 分 ， 就 作为 交易 费 
文 付 给 为 这 笔 交 易 记 账 的 矿工 。 


一 长 串 怪 怪 的 (funny) 字符 看 上 去 像 是 接收 地 址 。 实 际 上 ， 每 个 输出 都 要 
和 一 个 特定 的 公 钥 〈 地 址 ) 对 应 ， 所 以 这 一 长 串 字 符 里 面 确实 有 一 部 分 看 上 去 
是 公 钥 的 哈 布 值 ， 但 里 面 还 有 一 部 分 看 上 去 像 指 令 集合 的 东西 ， 它 其 实 是 一 个 
比特 币 的 脚本 ， 下 文 展开 介绍 。 


3.2 比特 币 的 脚本 


每 个 交易 输出 不 仅 确定 了 一 个 公 钥 ， 其 实 同 时 指定 了 一 个 脚本 。 那 脚本 是 
什么 ? 为 什么 我 们 要 用 一 个 脚本 ? 在 这 一 节 我 们 要 学 习 比 特 币 的 工作 控制 语言 ， 
也 叫 脚本 。 之 后 ， 我 们 就 会 懂得 为 什么 要 用 一 个 脚本 ， 而 不 是 简单 地 分 配 一 个 
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最 常见 的 比特 币 交易 ， 就 是 通过 某 人 的 签名 去 取得 他 在 前 一 笔 交 易 中 获 得 的 
资金 。 这 种 情况 下 ， 我 们 希望 交易 的 输出 包含 这 样 的 信息 :“ 凭借 地 址 X 的 所 有 者 
的 签名 ， 才 可 以 获得 这 笔 资 金 。” 我 们 知道 地 址 其 实 就 是 一 个 公 钥 的 喻 希 值 ， 所 以 
仅仅 说 地 址 X 并 没有 告诉 我 们 公 钥 在 哪里 ， 也 没有 给 我 们 一 个 检查 签名 的 方法 。 所 
以 ， 交 易 输出 必须 这 样 描述 : “凭借 哈 希 值 为 X 的 公 钥 ， 以 及 这 个 公 钥 所 用 的 签 
名 ， 才 可 以 获得 这 笔 资 金 。” 这 实际 上 就 是 最 常见 的 比特 币 脚 本 ， 如 图 3.4 所 示 。 

OP_DUP 
OP_HASH160 
69e02e18... 


OP_EQUALVERIFY 
OP_CHECKSIG 


3.4 P2PH 脚本 范例 
注 : 一 个 常见 的 比特 币 输出 脚本 范例 


那么 谁 执行 这 个 脚本 ? 这 一 系列 指令 是 如 何 完成 的 呢 ? 秘密 在 于 ， 交 易 的 
输入 包括 了 脚本 〈 而 不 是 签名 ) 。 为 了 确认 一 笔 交 易 正 确 地 获取 了 上 一 笔 交 易 所 
输出 的 资金 ， 我 们 把 交易 的 输入 脚本 和 上 一 笔 交 易 的 输出 脚本 串联 起 来 ， 这 个 
串联 脚本 必须 被 成 功 地 执行 后 才 可 以 获取 资金 。 这 两 个 脚本 ， 一 个 是 输出 脚本 
(scriptPubKey) ， 另 一 个 是 输入 脚本 〈scriptSig) 。 输 山脚 本 只 是 指定 了 一 个 公 针 
(或 是 公 钥 哈 硕 值 的 地 址 ) ， 输 入 脚本 指定 了 一 个 对 应 公 钥 的 签名 。 图 3.5 就 是 
两 个 脚本 结合 的 案例 。 


比特 币 脚 本 语言 

这 个 脚本 语言 是 为 比特 币 开 发 的 。 在 比特 币 里 只 叫 作 “脚本 ”。 它 和 男 一 种 
Forth 语言 有 很 多 相似 的 地 方 ，Forth 是 一 种 简单 的 堆栈 式 编 程 语言 ( stack-based 
programming language) ， 但 你 并 不 需要 先 学 习 Forth 语言 才 会 使 用 比特 币 的 脚本 
语言 。 上 比特 币 的 脚本 语言 设计 原则 就 是 和 傈 明 扼 要 ， 并 内 生地 支持 加 密 操 作 。 比 
如 ， 脚 本 里 面 有 目的 性 的 指令 用 来 计算 哈 布 值 和 检验 签名 。 

这 种 脚本 语言 是 堆栈 式 的 ， 意 味 着 每 个 指令 只 被 执行 一 次 ， 是 线性 的 ,无 
法 循环 执行 。 所 以 指令 的 数目 给 了 了 我们 一 个 执行 时 间 与 内 存 使 用 的 上 限 。 这 个 
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语言 不 是 图 灵 完 备 的 ， 意 味 着 不 能 随意 运行 中 大 郴 数 功 能 。. 但 这 是 有 意 设计 
的 ， 因 为 矿工 需要 去 执行 这 些 网 络 上 任意 交易 提交 者 所 递交 的 脚本 ,设计 者 并 
不 希望 让 他 们 提交 可 能 无 限 循环 的 脚本 。 


<Slg> 
<pubKey> 


OP_DUP 
OP_HASH160 
<pubKeyHash?> 
OP_EQUALVERIFY 
OP_CHECKSIG 


图 3.5 结合 输入 脚本 和 输出 脚本 范例 
注 : 为 了 确认 当前 交易 是 否 正 确 地 获取 了 前 一 笔 交 易 输 出 的 资金 ， 我 们 把 两 个 脚本 链接 起 来 ， 
把 上 一 笔 交易 的 输出 脚本 (图 中 虚线 下 方 ) 添加 到 当前 交易 的 输入 脚本 (虚线 上 方 ) 之 后 ， 
形成 一 个 新 的 脚本 。 请 注意 < pubKeyHash? > 里面 有 一 个 “?”， 用 作 标 识 一 一 我 们 后 面 会 
来 确认 它 是 否 与 当前 交易 提供 的 公 和 钥 的 哈 希 值 一 致 ， 


执行 比特 币 脚本 只 能 产生 两 个 结果 : 要 么 被 成 功 执行 ， 这 种 情况 下 ， 交 易 
有 效 ; 要 么 脚本 执行 出 现 错误 ， 这 种 情况 下 ， 整 个 交易 无 效 ， 拒 绝 记 和 人 区 块 链 。 

这 个 脚本 语言 十 分 简单 。 只 有 256 个 指令 ， 每 个 只 用 一 个 字 节 。256 个 指令 
中 ， 有 15 个 目前 不 可 用 ， 有 75 个 被 保留 还 没有 有 具体 定义 〈 以 后 或 许可 以 被 用 
来 扩展 ) ， 剩 下 的 才 是 可 用 的 。 

许多 在 其 他 语言 里 常见 的 基本 指令 这 里 面 都 有 。 例 如 ， 基 本 的 算数 、 逻 
辑 语 铝 〈 如 Ithen) 、 抛 出 错误 、 过 早 返 回 等 。 而 且 ， 还 有 密码 指令 ， 比 如 哈 
硕 图 数 语句 、 签 名 验证 语句 ， 还 有 一 个 重要 的 特殊 指令 是 “CHECKMULTIL- 
SIG” 签名。 表 3. 1 列举 了 一 些 比特 币 工 作 控 制 语 言 里 的 常 
用 语句 。 

CHECKMULTISIG 指令 要 求 指定 n 个 公 钥 和 一 个 参数 t (作为 一 个 临界 值 ) 。 
这 个 指令 正确 执行 的 条 件 是 : 在 n 个 公 钥 中 ， 至 少 可 以 选 出 t 个 现时 有 效 的 签 





DD 图 灵 是 第 二 次 氟 界 大 战 时 英国 数学 家 ， 密 人 码 学 家 。 他 破译 了 纳粹 的 密码 机 “ 谜 "， 为 盟 军 取得 第 
二 次 世界 大 战胜 利 做 出 重大 贡献 ， 美 国 好 莱 雹 以 此 题材 折 了 一 部 电影 《模仿 游戏 》， 图 灵 完 备 的 
意思 是 语言 有 能 力 随 意 地 执行 强大 的 函数 。 一 -一 译 者 注 
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名 。 我 们 在 本 章 3. 3 节 会 示范 这 个 指令 的 用 法 ,但 现在 我 们 需要 认识 到 这 个 原 
生 指令 是 非常 强大 的 ， 它 以 一 种 极其 精练 的 方式 协助 我 们 查验 交易 中 的 多 方 
签名 。 

不 过 ， 目 前 比特 币 多 方 签名 功能 实现 过 程 中 有 一 个 缺陷 ，CHECKMULTISIC 
指令 在 执行 的 时 候 会 返回 一 个 没 用 的 值 ， 而 且 系统 还 必须 要 安排 一 个 堆栈 中 的 
变量 去 储存 它 ， 然 后 再 忽略 掉 。 由 于 修复 这 个 缺陷 成 本 很 高 ， 两 害 相 权 取 其 轻 ， 
这 个 缺陷 就 一 直 没 被 修复 ， 我 们 在 第 3 章 3.6 节 会 再 做 讨论 。 但 目前 ， 这 个 程 
序 缺陷 也 算是 比特 币 的 一 个 特性 。 


表 3.1 一 些 比 特 币 脚本 工作 语言 中 的 指令 及 其 功能 


指令 名 称 功能 
OP_ DUP 复制 堆栈 顶端 数据 
i 二 篇] 人 关 -B i 次 .第 一 次 用 SHA - 第 一 次 
Ge HE 计算 哈 希 孔 数 两 次 : 第 一 次 用 SHA -256, 第 二 次 用 
RIPEMD - 160 


如 果 输 入 是 相同 的 ， 返 回 真 
如 果 输 入 是 不 同 的 ， 返 回 假 ， 整 个 交易 作废 


OP_CHECKSIC 检查 输入 的 签名 是 否 有 效 


OP_ EQUALVERIFY 


检查 在 交易 中 t+ 个 公 钥 (地址 ) 对 应 的 t 个 签名 是 否 


OP CHECKMULTISIC 
有 效 


执行 一 个 脚本 

在 堆栈 语言 里 执行 一 个 脚本 ， 我 们 只 需要 一 个 堆栈 来 垒 积 数据 ， 不 需要 分 
配 任 何 内 存 与 变量 。 因 此 ,堆栈 语言 中 计算 相当 容易 。 总 共有 两 类 指令 : 数据 
指令 和 工作 人 码 指令 。 数 据 指令 的 作用 是 把 数据 推 到 堆栈 的 最 上 面 ; 工作 码 指令 


则 通常 是 用 堆栈 顶部 的 数据 作为 输入 值 ， 用 来 计算 一 个 函数 。 
我 们 现在 来 一 起 看 一 下 ， 图 3.5 这 段 脚 本 是 怎么 执行 的 。 图 3.6 给 我 们 展示 


但 入 脚本 (包含 在 交易 的 输入 项 ) 中 的 签名 和 用 来 验证 签名 的 公 钥 。 我 们 前 面 
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提 到 过 ， 一 看 到 数据 指令 ， 系 统 就 把 它 堆 到 堆栈 最 上 面 。 后 面 儿 个 指令 是 输出 
脚本 (包含 在 上 一 交易 的 输出 项 中 ) 里 的 指令 。 

首先 ， 我们 复制 指令 OP_DUP， 这 一 步 仅 仅 是 将 堆栈 最 上 层 的 公 钥 复制 ， 
并 置 于 堆栈 最 上 层 ; 下 一 个 指令 是 OP_HASH160 ， 该 指令 取得 堆栈 最 上 层 的 数 
据 ， 并 计算 其 哈 希 值 ， 然 后 将 结果 再 堆 到 堆栈 最 上 层 。 当 指令 执行 完成 后 ， 我 
们 将 堆栈 最 上 层 的 公 钥 奉 换 成 了 公 和 钥 的 哈 布 值 。 


Ce 






sees sh> 






<sig> <pubKkey> OP_DUP OP_HASH160 <pubKeyHash?> 《OP_EQUALVERIFY> OP_CHECKSIG 





图 3.6 比特 币 脚本 的 执行 堆栈 状态 图 
注 : 图 中 底部 列 出 了 相对 应 的 指令 : 尖 括 号 里 的 是 数据 指令 ， 以 OP 开头 的 是 工作 人 码 指 令 ， 指 令 
上 方 对 应 的 是 指令 执行 之 后 的 堆栈 状态 。 


接 下 来 ， 我 们 还 要 在 堆栈 项 层 再 推送 一 些 数据 : 此 笔 交 易 发 送 者 指定 的 公 
钥 的 哈 希 值 ， 以 及 对 应 的 私 钥 ， 这样 才 可 完成 签名 ,取得 资金 。 此 时 ,堆栈 项 
部 有 两 个 数值 ， 一 个 是 发 送 者 指定 的 公 角 的 哈 希 值 ， 为 一 个 是 接收 者 想 要 取得 
资金 时 提交 的 公 角 的 喻 希 值 。 

这 个 时 候 ， 我 们 就 要 执行 EQUALVERIFY 命令 了 ， 这 个 命令 是 用 来 检查 堆 
栈 顶 部 两 个 数值 是 否 相 等 的 。 如 果 不 相 等 ， 就 会 抛 出 一 个 失败 信号 ， 并 且 停 止 
执行 脚本 。 不 过 现在 我 们 假设 其 相等 ， 也 就 代表 着 接收 者 使 用 的 是 正确 的 公 和 钥 。 
这 条 指令 会 移 除 堆栈 项 部 的 两 条 数据 ， 这 时 ， 堆 栈 还 剩 下 两 个 数据 : 公 钥 以 及 
签名 。 


我 们 已 经 证 实 接收 者 使 用 的 公 钥 确实 就 是 交易 里 指定 的 公 钥 ， 但 现在 我 们 


必须 证 实 这 个 签名 是 真 的 。 这 时 ， 使 用 OP_ CHECKSIG 指令 即 可 。 这 里 我 们 可 
以 看 出 比特 币 的 脚本 声言 虽然 商 单 ， 但 很 咱 大 。 它 只 用 “OP_CHECKSIC” 就 能 
实现 一 个 很 复杂 的 事情 : 移 除 堆栈 里 两 个 数值 ， 然 后 用 公 钥 来 证 实 整个 交易 的 
签名 是 真 的 。 
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但 这 里 的 签名 究竟 是 对 什么 的 签名 ?签名 肾 数 的 输入 是 什么 ”实际 上 , 在 
比特 币 中 ， 我 们 只 可 以 对 一 个 事情 进行 签名 一 一 就 是 整个 交易 。 所 以 ，CHECK- 
SIG 指令 从 堆栈 中 取出 两 个 数据 ( 公 钥 以 及 签名 ) ， 并 验证 签名 对 于 整个 交易 
(使 用 对 应 公 钥 发 起 的 交易 ) 来 说 是 有 效 的 。 现 在 我 们 完成 了 所 有 的 指令 ， 堆 栈 
里 面 什 么 也 不 剩 。 假 设 没 有 碰 到 任何 差错 的 话 ， 这 个 脚本 的 输出 就 是 一 个 “页 ” 
表示 这 个 交易 是 正当 有 效 的 。 


实际 情况 

理论 上 来 讲 ， 通 过 脚本 ， 我 们 可 以 随意 地 为 比特 币 支 付 设 定 条 件 。 当 然 ， 
从 2015 年 的 情况 看 ， 这 些 特性 也 并 不 太 常 用 到 。 如 果 我 们 回顾 比特 币 历史 中 曾 
经 实际 用 到 的 脚本 ， 绝 大 多 数 的 比特 币 使 用 的 脚本 都 非常 基础 ， 像 前 文 的 例子 
一 样 : 指定 一 个 公 钥 ， 然 后 通过 验证 签名 来 使 用 这 个 币 。 

当然 ， 实 际 中 也 会 使 用 一 些 其 他 指令 ， 比 如 MULTISIG ， 还 有 一 种 支付 给 脚 
本 的 哈 希 值 (Pay-to-script-hash， 简 称 P2SH， 我 们 很 快 会 谈 到 ) 等 , 但 除 此 之 
外 ， 平 时 常用 的 指令 真 不 多 ， 因 为 每 个 节点 都 有 一 份 标准 脚本 的 白 名 单 ， 它 们 
会 拒绝 接受 不 在 名 单 上 的 脚本 。 这 倒 不 是 说 无 法 运行 其 他 脚本 ， 只 是 使 用 起 来 
比较 麻烦 。 事 实 上 这 样 的 安排 也 很 巧妙 ， 我 们 会 在 谈论 比特 币 点 对 点 网 络 的 时 
候 再 进行 描述 。 


销毁 证 明 

销毁 证 明 (proof of burn) 脚本 ， 用 于 销毁 比特 币 〈( 即 防止 资金 被 赎 回 ) 。 
如 来 交易 代码 的 运行 结果 是 esha “销毁 证 明 ” 脚 本 ， 那 么 这 笔 比特 币 
将 被 销毁 。 实 际 应 用 中 主要 是 用 来 引导 客户 使 用 其 他 数字 货币 系统 ， 即 将 比特 
pppipape 我 们 会 在 第 10 章 展 开 令 
述 。 钊 毁 证 明 脚 本 使 用 起 来 非常 简便 : 使 用 OP_RETURN 脚本 来 抛 出 错误 ; 不 
沦 之 前 指令 的 运行 结果 是 什么 ，OP_RETURN 指令 总 会 被 执行 ， 并 相应 抛 出 一 


个 错误 ， 脚 本 返回 一 个 “错误 ” (false) 值 。 
由 于 OP_ RETURN 以 抛 出 错误 的 形式 结束 脚本 ， 其 后 的 所 有 指令 都 不 会 执 
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行 。 利 用 这 个 特性 ， 我 们 可 以 往 脚本 中 植 人 任意 信息 ， 这 些 信息 也 将 被 存储 在 
区 块 链 中 。 假 如 你 想 通 过 署名 或 者 盖 时 间 戳 的 方式 来 证 明 你 在 某 个 时 候 知 道 东 
件 事情 ， 就 可 以 发 起 一 笔 极 小 额 的 比特 币 交 易 ， 在 脚本 中 加 入 上 述 信 息 ， 并 使 
用 销毁 证 明 脚本 将 币 销毁 ， 这 样 就 可 以 将 信息 永久 地 存储 在 区 块 链 上 。 


支付 给 脚本 的 哈 希 值 

如 前 文 所 述 ， 比 特 币 的 工作 机 制 要 求 币 的 发 送 者 必须 在 交易 时 明确 指定 脚 
本 。 这 种 机 制 有 时 候 不 太 适 用 : 假如 你 在 网 店 看 中 了 一 件 商 品 并 打算 下 单 ， 你 
会 问 卖家 “请 把 付款 地 址 告诉 我 ， 我 可 以 付款 了 ”， 但 如 果 卖 家 使 用 了 多 重 签名 
地 址 (MULTISIG ) ， 那 他 会 说 “ 嘿 ， 我 们 用 了 多 重 签 名 地 址 ， 你 需要 文 付 给 一 
个 脚本 地 址 ， 而 不 是 一 个 简单 的 地 址 ”， 但 你 会 说 “我 不 知道 怎么 弄 ， 这 太 复 杂 
了 ,我 只 会 支付 给 简单 的 地 址 ”。 

比特 币 用 了 一 种 很 聪明 的 办 法 来 解决 这 个 问题 ， 不 仅 可 以 实现 多 重 签 名 地 
址 支付 ， 而 且 还 可 以 实现 复杂 的 资金 监管 规则 。 比 特 币 使 用 的 办 法 是 : 收 款 方 
告诉 付款 方 “请 把 比特 币 支 付 给 某 个 脚本 地 址 ， 脚 本 的 哈 硕 值 是 x x ， 在 取款 
的 时 候 ， 我 会 提供 上 述 哈 布 值 对 应 的 脚本 ， 同 时 ， 提 供 数 据 通过 脚本 的 验证 ”， 
而 不 是 “请 把 比特 币 文 付 给 某 个 公 钥 ， 公 钥 的 哈 布什 是 x x”"。 付 款 方 通过 
P2SH 即 可 实现 上 述 交 易 。 

需要 说 明 的 是 ，P2SH 脚本 只 是 对 堆栈 最 项 层 的 数据 进行 喻 希 运 算 ， 核验 运 
算 绪 采 是 否 与 给 定 的 哈 硕 但 一 致 ， 核 验 通 过 后 ， 再 执行 一 步 特 殊 的 核验 : 将 堆 
栈 最 顶层 的 数据 重新 解读 为 一 系列 指令 ， 然 后 将 其 作为 脚本 运行 一 次 ， 此 时 ， 
堆栈 中 的 其 他 数据 作为 脚本 的 输入 值 。 

要 做 到 P2SH 还 是 有 点 复杂 的 ， 因 为 P2SH 不 是 比特 币 的 原始 设计 ， 是 后 来 
加 上 去 的 。 它 解决 了 两 个 重要 的 问题 : 让 付款 方 的 支付 工作 简单 化 ， 收 款 方 只 
睾 告 诉 付款 方 一 个 哈 布 值 即 可 。 在 我 们 上 面 的 例子 中 ， 你 不 再 需要 去 关心 商家 
到 撒 用 哪 种 地 址 ， 是 否 用 了 多 重 签名 ， 因 为 这 只 是 商家 在 支取 这 笔 款项 时 需要 
元 虑 的 事情 。 

P2SH 还 实现 了 效率 上 的 提升 : 矿工 的 工作 是 追踪 那些 还 没有 被 消费 掉 的 输 
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它们 只 不 过 是 个 哈 硕 值 而 已 。 所 





出 脚本 。 采 用 P2SH 的 输出 脚本 会 变 得 很 小 
有 的 复杂 性 都 被 放 在 输入 脚本 中 了 。 


3.3 比特 币 脚 本 的 应 用 


现在 我 们 已 经 明白 了 比特 币 脚 本 的 工作 机 制 ， 接 下 来 我 们 看 一 下 比特 币 脚 
本 语言 的 一 些 强大 应 用 。 你 立刻 就 能 明白 ， 比 特 币 将 指定 公 钥 变 成 复杂 地 指定 
脚本 ， 是 有 实际 意义 的 。 


第 三方 支付 交易 

比如 ， 爱 丽 丝 用 比特 币 向 鲍 勃 买 东 西 ， 爱 丽 丝 想 货 到 付款 ， 而 鲍 勃 想见 款 
发 货 。 该 如 何 处 理 ? 一 个 好 的 办 法 是 使 用 第 三 方 支付 交易 (escrow transaction ) 。 

第 三 方 支付 交易 可 以 用 “MULTISIG” (多 重 签名 ) 来 轻易 实现 。 爱 丽 丝 并 
不 直接 付款 给 鲍 勃 ， 而 是 发 起 一 个 多 重 签名 的 交易 ， 并 规定 : 三 个 人 中 有 两 人 
签名 之 后 ， 资 金 才 能 被 支取 。 这 三 个 人 是 爱丽 丝 、 鲍 勃 与 第 三 方 仲裁 员 朱 迪 
(Judy) 。 朱 迪 负 责 调解 可 能 发 生 的 纠纷 。 因 此 ， 爱 丽 丝 发 起 了 一 个 2/3 的 多 重 
签名 交易 来 付款 ， 这 个 交易 规定 三 个 人 中 有 两 人 签名 之 后 ， 资 金 才能 被 支取 。 
这 个 交易 被 纳入 区 块 链 后 ， 资 金 被 第 三 方 监管 ， 这 三 个 人 中 的 任意 两 个 人 可 以 
决定 资金 的 去 向 。 现 在 ， 鲍 孝 觉 得 可 以 给 爱丽 丝 发 货 了 ,通常 情况 下 ， 如 果 爱 
丽 丝 和 人 鲍 支 都 是 有 诚信 的 ， 鲍 过 会 按照 爱丽 丝 要 求 发 贷 ， 爱 丽 丝 收 贷 之 后 和 人 鲍 
勃 共同 签名 ， 把 资金 转 给 鲍 勃 。 由 于 三 个 人 中 有 两 人 签名 即 可 完成 支付 ， 此 时 ， 
由 于 没有 任何 争议 ， 朱 迪 根 本 不 需要 参与 。 和 爱丽 丝 直接 付款 给 鲍 勃 相 比 ， 第 
三 方 支付 交易 并 不 会 更 复杂 ， 只 需 在 区 块 链 里 增加 一 笔 交 易 即 可 。 

但 如 果 鲍 勃 其 实 并 未 发 货 ， 或 者 货物 在 路 上 被 弄 丢 了 ， 又 或 者 鲍 勃 发 的 货 
物 并 不 是 爱丽 丝 想 要 的 ， 这 时 会 出 现 什么 情况 ?爱丽 丝 觉 得 被 骗 了 ， 所 以 不 打 
算 付 款 给 鲍 勃 ， 而 是 想 把 比特 币 从 监管 账户 要 回来 。 这 种 情况 下 ， 爱 丽 丝 不 会 
签名 真正 完成 付款 ， 而 鲍 勃 肯定 也 不 会 承认 问题 而 主动 放弃 收 款 ， 这 时 ， 就 需 
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要 朱 迪 判定 资金 到 底 该 转 给 谁 。 如 果 朱 迪 认 为 鲍 勃 其 统 爱丽 丝 ， oe 
丝 一 起 签名 ， 把 比特 币 退 还 给 爱丽 丝 ， 当 然 ， 如 果 她 认为 爱丽 丝 应 该 付款 

她 就 会 和 鲍 勃 一 起 签名 ， 完 成 资金 的 实际 文 付 ; 所 以 ， RE 
销 支付 ， 由 朱 迪 决定 。 当 然 ， 这 种 情况 也 只 有 在 发 生 纠 纷 时 才 出 现 。 


绿色 地 址 


另外 一 个 很 酷 的 应 用 叫 作 绿色 地 址 ( green addresses ) 。 假 如 爱丽 丝 要 转账 
给 鳃 勃 ， 而 饱 勃 不 在 线 (或 者 饱 勃 在 线 但 没有 时 间 ) ， 所 以 他 无 法 通过 查看 区 块 
链 的 更 新 来 确认 转账 是 否 完成 。 一 般 来 说 ， 一 个 交易 需要 获得 6 次 确认 ， 我们 
才能 确信 它 已 经 确实 被 加 到 区 块 链 中 ,但 这 需要 大 约 一 个 小 时 。 但 是 ， 想 象 一 
下 ， 如 果 爱 丽 丝 只 是 在 鲍 勃 的 店 里 买 一 个 热狗 ， 这 么 长 时 间 才 确认 交易 ， 显 然 
是 不 可 接受 的 ; 或 者 ， 如 果 鲍 勃 由 于 某 些 原因 无 法 接 人 互联 网 ， 那 他 就 一 直 无 
法 确认 交易 。 

为 了 解决 这 个 问题 ， 比 特 币 采用 了 第 三 方 银行 的 做 法 ， 实 际 上 ,“ 银 行 ” 可 
能 是 一 个 交易 所 ， 或 者 是 其 他 的 金融 媒介 。 如 果 爱 丽 丝 要 转账 给 鲍 勃 ， 爱 丽 丝 
会 和 她 的 银行 联系 ,“ 我 要 付 给 鲍 勃 这 些 币 ， 你 能 办 理 吗 ?” 银 行 会 回答 : “好 
的 。 我 会 从 你 的 账号 扣 钱 ， 然 后 从 我 的 绿色 地 址 转账 给 鲍 勃 .。” 这 样 ， 收 蒜 人 就 
不 需要 实时 查看 区 块 链 来 确认 交易 。 

需要 注意 的 是 ， 款 项 并 不 是 由 银行 直接 文 付 给 饮 抛 ， 实际 上 ， 部 分 球 项 
可 能 会 通过 其 他 地 址 回 到 银行 手中 。 但是， 由 于 比特 币 从 银行 控制 的 某 个 账 
户 一 一 我 们 在 此 所 称 的 “绿色 账户 ”下 接 转 给 饮 势 ， 而 且 ， 银 行 保证 它 不 会 双 
重文 持 这 个 比特 币 ， 如 采 鲍 劲 也 相信 这 一 点 ， 当 他 看 到 银行 签名 的 交易 时 ， 就 
可 以 确认 自己 迟早 会 收 到 这 些 比 特 币 一 一 只 要 区 块 链 确 认 这 笔 交 易 。 

请 注意 ， 这 不 是 比特 币 技术 系统 的 保证 ， 而 是 现实 世界 中 银行 的 保证 ， 银 
行为 了 保护 它 的 声誉 ， 不 会 双重 文 持 比特 币 。 银 行 可 以 癌 客 户 证 明 ,“ 我 一 直 使 
用 这 个 账户 来 文 付 ， 从 始 至 终 也 没有 发 生 过 双重 支付 ， 我 以 前 没有 这 么 做 ， 以 
后 也 不 会 这 么 做 。” 如 果 鲍 勃 信任 银行 不 会 进行 双重 支付 的 承诺 ， 他 就 无 须 信 任 
爱丽 丝 一 一 他 对 爱丽 丝 本 来 就 了 解 不 多 。 
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当然 ， 如 果 银 行 出 现 了 双重 支付 事件 ， 它 就 会 自 毁 长 城 ， 人 们 不 会 再 信任 
它 。 实 际 上 ， 有 两 个 提供 绿色 地 址 的 机 构 [Instawallet 和 门头沟 公司 (ML Gox 
的 昵称 ， 位 于 日 本 东京 ， 是 全 球 最 大 的 比特 币 交 易 商 )] 就 是 由 于 失信 而 倒闭 
的 。 目 前 ， 绿 色 地 址 使 用 得 越 来 越 少 : 最 初 ， 人 们 认为 绿色 地 址 可 以 实现 快速 
支付 ， 而 且 不 需要 通过 查看 区 块 链 来 确认 交易 结果 ; 但 是 现在 ， 人 们 认为 ， 对 
“银行 ”过 分 信任 是 有 风险 的 。 


高 效 小 额 支付 (efficient micro-payments ) 

我 们 再 举 一 个 比特 币 脚 本 应 用 的 例子 。 假 设 爱丽 丝 是 鲍 勃 的 客户 ， 需 要 持 
续 向 鲍 勃 支付 小 额 费用 ， 例 如 ， 鲜 勃 是 爱丽 丝 的 手机 流量 提供 商 ， 根 据 爱 丽 丝 
每 分 钟 使 用 的 流量 计 费 。 但 是 ， 每 分 钟 支 付 一 次 是 不 现实 的 : 即使 技术 上 做 得 
到 ， 交 易手 续费 也 让 人 吃不消 。 

我 们 硕 望 可 以 把 每 分 钟 的 费用 累积 起 来 ， 最 后 一 次 性 文 付 。 为 了 实现 这 种 
想法 ， 爱 丽 丝 先 发 起 一 个 MULTISIG 交易 ， 把 可 能 花费 的 最 大 金额 转 到 MULTI- 
SIG 地 址 ， 但 这 个 交易 需要 爱丽 丝 与 鲍 有 劲 两 个 人 的 签名 才能 生效 。 爱 丽 丝 在 使 用 
流量 的 时 候 ， 每 隔 一 分 钟 就 签名 一 次 ， 辐 鲍 劲 支付 这 分 钟 所 产生 的 流量 费用 ， 
然后 把 剩余 的 钱 转 给 目 己 ， 每 分 钟 重复 一 次 ， 直 到 挂机 为 止 。 请 注意 ， 这 些 交 
ne 还 没有 鲍 动 的 签名 ， 因 此 ， 交 易 还 没 被 放 进 区 块 链 里 。 
爱丽 丝 挂机 之 后 ， 会 告诉 鲍 锚 “我 用 好 了 ， 你 可 以 切断 我 的 服务 了 ”， 此 时 ， 爱 
人 
里 签名 ， 把 它 放 入 区 块 链 里 。 

随 着 每 个 交易 付 给 鲍 勃 的 币 越 来 越 多 ， 爱 丽 丝 的 币 就 会 越 来 越 少 。 

个 交易 会 一 次 性 回 鲍 勃 文 付 所 有 的 流量 费 ， 然 后 msde 
过 程 中 ， 爱 丽 丝 单独 签名 的 交易 不 会 进入 区 块 链 (上 面 没 有 鲍 勃 的 签名 ) ， 最 后 
它们 都 会 被 丢 奔 掉 。 

从 技术 上 讲 ， 所 有 这 些 交 易 都 是 双重 支付 。 在 介绍 绿色 地 址 时 ， 我 们 特别 
提 到 防止 双重 文 付 的 重要 性 ， 但 在 本 例 中 ， 我 们 却 主动 创造 了 大 量 的 双重 支付 。 
实际 上 ， 如 果 双 方 都 是 正常 运作 的 话 ， 鲍 勃 只 会 在 最 后 一 个 交易 上 签名 ， 所 以 
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我 们 在 区 块 链 上 看 不 到 中 间 产 生 的 那些 双重 支付 交易 。 

还 有 一 个 微妙 的 细节 : 如 果 鲍 勃 没有 在 最 后 一 个 交易 上 签名 呢 ? 他 可 能 会 
说 ,“ 就 让 那些 币 待 在 第 三 方 托管 地 址 里 吧 。 这 样 一 来 ， 爱 丽 丝 就 会 失去 她 一 
开始 转 到 MULTISIG 地 址 的 所 有 比特 币 。 但 我 们 有 一 个 聪明 的 办 法 来 解决 这 个 问 
题 ， 那 就 是 我 们 前 面 看 到 的 一 个 代码 一 一 锁定 时 间 。 


锁定 时 间 

为 了 避免 上 面 说 的 这 个 问题 ， 在 小 额 文 付 协议 开始 之 前 ， 爱 丽 丝 与 鲍 马 要 
签订 一 个 交易 ， 约 定向 爱丽 丝 退还 所 有 的 比特 币 ， 但 是 这 个 “ 退 款 ” 行 为 被 上 
了 锁 ， 直 到 锁定 时 间 到 了 为 止 。 爱 丽 丝 发 起 MULTISIG 交易 把 比特 币 转 入 第 三 方 
托管 之 后 ， 在 向 网 络 宣布 这 笔 交 易 之 前 ， 她 会 从 鲍 勃 那里 要 求 这 个 退 坎 交易 。 
这 样 ， 如 果 过 了 t+ 时 间 鲍 勃 还 没有 在 最 后 一 个 交易 上 签名 的 话 ， 她 可 以 通过 这 
个 退 款 交易 收回 所 有 的 比特 币 。 

退 款 交 易 被 锁定 上 时间 是 什么 意思 呢 ? 还 记得 我 们 在 第 3 章 3. 2 节 提 到 元 数据 
的 时 候 ， 有 一 个 参数 是 “lock_time”， 当 时 我 们 还 没有 解释 。 在 此 参数 后 面 填 上 非 
零 数 值 t, 这 个 值 告诉 矿工 在 记 账 的 时 候 ， 要 等 待 t 时 间 之 后 才能 把 这 笔 交 易 记 入 
区 块 链 。 这 个 交易 在 放 入 区 块 后 ， 经 过 确定 的 区 块 数 或 者 时 间 才 生效 。 通 过 这 个 
方式 ， 人 们 可 以 发 起 一 笔 未 来 交易 ， 当 然 ， 只 有 资金 在 未 来 时 间 点 之 前 未 被 花费 
掉 ， 这 笔 未 来 交易 才 会 被 执行 。 这 在 小 额 支付 的 例子 里 非常 有 效 ， 它 是 爱丽 丝 的 
定心丸 ， 能 够 确保 在 鲍 勃 最 后 没有 签字 的 情况 下 她 能 拿 回 自己 的 比特 币 。 

通过 上 面 的 例子 ,我们 展示 了 比特 币 脚本 可 以 轻易 实现 很 多 功能 。 我 们 虽 
然 只 讨论 了 三 个 例子 ， 但 其 实 人 们 研究 过 许多 其 他 的 功能 。 比 如 多 人 彩票 系统 ， 
这 个 系统 涉及 一 些 十 分 复杂 的 多 步 操作 协议 ， 以 及 不 同 的 锁定 时 间 和 第 三 方 托 
常 账户， 来 防止 玩家 作弊 。 还 可 以 通过 脚本 语言 实现 多 人 混 币 ， 使 得 比特 币 更 
难 被 追踪 。 我 们 会 在 第 6 章 展开 讨论 。 


智能 合约 
所 请 智能 合约 (smart contracts ) ， 就 是 那些 不 同 于 需要 通过 法 律 或 者 仲裁 机 
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构 来 保护 执行 的 普通 合约 ， 智 能 合约 是 比特 币 系 统 里 可 以 用 技术 手段 来 强制 执 
行 的 合约 ， 我 们 已 经 看 到 ， 比 特 币 有 非常 好 的 特性 让 我 们 可 以 用 脚本 、 矿 工 和 和 
交易 验证 一 一 而 不 是 通过 中 心 化 权威 机 构 一 一 来 实现 第 三 方 托管 协议 或 是 小 额 
误 何 s 

智能 合约 的 研究 目前 已 经 非常 深入 ， 能 够 实现 非常 多 很 复杂 的 功能 ,但 比 
特 币 脚本 语言 的 设计 也 有 很 多 缺陷 ， 还 是 有 很 多 现实 需要 的 智能 合约 无 法 用 比 
特 币 的 工作 控制 语言 来 实现 上 2。 不 过 这 里 我 们 就 不 一 一 细 谈 了 。 





3.4 比特 币 的 区 块 


现在 ， 我 们 已 经 了 解 了 单个 交易 是 如 何 创建 的 ， 但 是 在 第 2 章 里 提 到 ， 所 
有 交易 都 是 被 打包 放 和 人 区 块 的 ， 为 什么 要 这 么 做 呢 ? 其 实 这 是 为 了 性 能 优化 ， 
如 果 每 一 个 交易 都 要 矿工 单独 去 达成 共识 ， 那 整个 系统 的 交易 处 理 速 度 将 会 变 
得 非常 慢 。 而 如 宁 我 们 把 大 量 交 易 组 织 起 来 放 人 一 个 区 块 ， 得 到 的 哈 布 链 就 更 
短 ， 大 大 提高 了 验证 区 块 链 数据 纺 构 的 效率 。 

区 块 链 〈 块 链 ) 非常 聪明 地 把 两 个 基于 喻 希 值 的 数据 结构 结合 起 来 : 第 一 
个 数据 结构 是 区 块 的 哈 希 链 ， 每 一 个 区 块 部 有 一 个 区 块 涉 部 ,里面 有 一 个 哈 希 
指针 指向 上 一 个 区 块 。 第 二 个 数据 结构 是 一 个 树 状 数据 结构 ， 也 就 是 以 树 状 结 
构 把 区 块 内 所 有 交易 的 哈 希 值 进行 排列 存储 。 也 叫 梅 殉 尔 树 (请 参考 第 1 章 )， 
它 以 一 种 非常 高 效 的 形式 把 所 有 交易 组 织 起 来 。 为 了 证 明 某 个 交易 在 某 个 区 块 
内 ， 可 以 通过 树 内 路 径 来 进行 搜索 ， 而 树 的 长 度 束 是 区 块 内 所 包含 的 交易 数目 
的 对 数 ( 见 图 3.7)。 

我 们 在 第 2 章 中 提 到 过 (在 第 5 章 还 将 继续 涉及 ) ， 区 块头 部 还 包含 了 控 矿 
恋 题 2 相关 的 信息 。 还 记得 ， 区 块头 部 的 哈 希 函数 必须 以 一 大 堆 零 开头 才 有 效 ， 


DD 但 已 经 有 很 多 有 意义 的 探索 ， 比 如 以 太 坊 等 实现 了 图 灵 完 备 的 智能 合约 。 一 -一 译 者 注 
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图 3.7 比特 币 的 区 块 链 有 两 个 哈 希 结构 
注 : 一 个 就 是 把 区 块 联结 在 一 起 的 哈 希 链 ， 另 一 个 就 是 区 块 内 部 的 交易 哈 希 值 梅 克 尔 树 。 


此 外 ， 区 块头 部 还 要 包含 一 个 矿工 可 以 修改 的 “临时 随机 数 ”、 一 个 时 间 惟 和 一 
个 点 数 〈 点 数 用 来 表示 找到 这 个 区 块 的 难度 ) 。 区 块头 部 是 挖 矿 过 程 中 唯一 哈 希 
值 化 的 ， 所 以 要 验证 一 个 区 块 的 链 ， 只 要 检查 区 块头 部 即 可 。 在 区 块头 部 唯一 
的 交易 数据 是 交易 树 的 树 根 一 一 “mrkl_ root”。 

每 个 区 块 的 梅 克 尔 树 上 都 有 一 个 有 意思 的 交易 ， 叫 作 币 基 交 易 ( 见 图 3. 8)。 
这 就 类 似 于 财 奴 币 里 的 造 币 交易 。 这 个 交易 创造 新 的 比特 币 ， 它 看 上 去 像 是 一 
个 普通 的 交易 ,但 有 几 点 不 同 : 

1. 它 永 远 只 有 一 个 单一 的 输入 与 单一 的 输出 。 

2. 这 个 交易 并 不 消费 之 前 交易 输出 的 比特 币 ， 因 此 ， 没 有 指针 指向 “上 一 
交易 ”。 

3. 这 个 输出 值 目前 大 约 是 25 个 币 多 一 点 点 。 这 个 输出 值 就 是 矿工 的 挖 矿 收 
入 。 它 由 两 部 分 组 成 : 一 部 分 是 奖励 的 25 个 比特 币 (奖励 在 每 生产 210 000 个 
区 块 一 一 大 概 4 年 一 一 后 减 半 ) ， 男 一 部 分 是 所 有 交易 的 交易 手续 费 ， 

4. 还 有 一 个 特别 的 地 方 就 是 “ 币 基 ”参数 ， 矿 工 可 以 放任 何 值 进去 。 

这 里 值得 一 提 的 是 ， 当 比特 币 的 第 一 个 区 块 被 铸造 出 来 的 时 候 ， 该 区 块 的 
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“Tn EL 
‘ 
"prev_out":{ 
"hash”:“9666668 . . .. . 6666666 ” ， 
"n”:4294967295 
}， 
"COinbase ova 
}， 
[ 
UE | 
{ 
"value":"25.63371419",， 
"scriptPubKey":"OPDUP OPHASH168 ... ” 
} 
] 


图 3.8 币 基 交易 
注 ， 币 基 交 易 创 造 新 的 比特 币 ， 这 个 交易 并 不 消费 之 前 交易 和 输出 的 比特 币 ， 因 此 ， 没 有 指针 指向 “上 
一 交易 "。 币 基 交 易 的 参数 可 以 是 任意 数据 。 币 基 交 易 的 价值 等 于 区 块 奖励 加 上 区 块 中 包含 的 所 
有 交易 费 。 
币 基 参数 提 及 了 伦敦 《泰晤士 时 报 》 的 一 则 报道 : 2009 年 1 月 3 日， 财政 大 丐 
拯救 银行 。 这 被 看 成 比特 币 发 明 的 政治 动机 ， 同 时 也 很 好 地 证 明了 第 一 个 区 块 
的 打包 时 间 是 在 2009 年 1 月 3 日 , 上述 报道 出 来 之 后 。 这 也 是 矿工 使 用 “ 币 
基 ” 参数 来 支持 很 多 比特 币 的 不 同 特 性 。 

想 更 好 了 解 比特 币 的 区 块 和 交易 结构 ， 最 好 的 办 法 是 目 己 浏览 区 块 链 的 数 
扬 ， 有 很 多 网 站 提供 数据 ， 比 如 blockchain. info， 在 该 网 站 上 可 以 看 到 所 有 交 
吻 ， 以 及 每 笔 交 易 所 引用 的 上 一 笔 交 易 。 由 于 比特 币 的 数据 都 是 公开 的 ， 一 些 
程序 员 已 经 开发 出 了 全 图 形 化 的 展现 方式 。 


3.5 比特 币 网 络 


到 这 里 ， 我 们 已 经 讨论 了 参与 者 可 以 发 布 交 易 ， 并 将 交易 纳入 区 块 链 ， 这 一 
切 似乎 很 神奇 。 事实 上 ， 上 述 整 个 过 程 都 是 通过 比特 币 网 络 完成 的 。 比 特 币 网 络 
是 一 个 点 对 点 的 网 络 ， 治 用 了 很 多 已 有 的 点 对 点 网 络 的 理念 。 在 比特 币 网 络 里 ， 
所 有 的 节点 都 是 平等 的 。 没 有 等 级 ， 也 没有 特殊 的 节点 ， 或 所 谓 的 主 节 点 。 它 运 
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行 在 TCP 网 络 上 ， 有 一 个 随意 的 拓扑 结构 ， 每 个 节点 和 其 他 的 随机 节点 相连 。 新 
的 节点 也 可 以 随时 加 入 。 可 以 试 着 现在 就 下 载 比 特 币 节点 软件 ， 把 你 的 个 人 电脑 
注册 为 一 个 节点 ， 这 个 节点 的 权限 和 比特 币 网 络 里 所 有 其 他 节点 都 是 一 样 的 。 

由 于 随时 有 新 的 节点 进入 ， 也 有 旧 的 节点 离开 ， 所 以 比特 币 网 络 事 实 上 一 
直 在 变化 。 并 没有 强制 的 规定 节点 何 时 明确 地 离开 网 络 ， 只 要 一 个 下 点 有 3 个 
小 时 没有 音讯 ， 就 会 慢 慢 地 被 其 他 节点 忘记 。 通 过 这 个 方式 ， 网 络 非常 缓和 地 
处 理 节 点 下 线 问 题 。 

上 文 提 到 ， 每 个 节点 和 其 他 随机 节点 相连 ， 了 网络 中 并 不 存在 一 个 确定 的 地 
理学 意义 上 的 拓扑 结构 。 那 么 一 个 节点 是 如 何 加 入 网 络 的 呢 ? 当 你 记 动 一 个 新 
节点 的 时 候 ， 先 加 一 个 你 知道 的 节点 发 送 一 个 简单 的 消息 。 这 个 节点 就 是 你 的 
种 子 节 点 ， 当 然 ， 有 多 种 不 同 的 方法 可 以 查找 种 子 万 点 。 然后 你 就 会 问 你 的 各 
子 节点 是 不 是 还 知道 其 他 什么 节点 ? 在 链接 到 一 个 新 的 节点 后 ， 你 可 以 重复 这 
个 过 程 许多 次 ， 最 后 你 可 以 选择 和 哪些 节点 相连 ， 这 时 ， 你 就 成 为 比特 币 网 络 

一 个 完全 合格 的 节点 了 。 这些 步骤 里 有 很 多 随机 性 ， 理 想 的 情况 就 是 你 能 和 
一 些 随机 组 的 节点 相连 。 为 了 加 入 网 络 成 为 网 络 节点 ， 你 只 需 知 道 一 开始 怎么 
和 其 中 一 个 节点 链接 就 行 了 。 

那加 入 网 络 到 底 有 什么 好 处 ?当然 是 为 了 维护 区 块 链 。 当 我 们 发 起 一 个 交 
易 的 时 候 ， 我 们 想 让 整个 网 络 都 知道 。 这 是 通过 一 个 “ 泛 洪 ” (flooding) 的 算 
法 完成 的 ee “八卦 ” (gossip) 协议 ] 。 Ra 
鲍 勃 ， 她 的 客户 端 发 起 一 个 交易 ， 然 后 把 这 笔 交 易 告 知 所 有 和 她 的 客户 端 
相 链 接 的 其 他 市 点 ，3 i 会 进行 一 系列 核验 ， 决 定 是 否 接受 并 转播 这 en 
易 。 如 来 核验 通过 ， 这 些 市 点 会 将 这 笔 交 易 信 息 传播 给 与 其 相连 的 其 他 节点 。 
当 市 点 接收 到 一 个 交易 信息 后 ,会 把 交易 放 入 一 个 交易 池 ， 但 需要 注意 的 是 ， 
交易 池 里 的 交易 还 ;没有 被 打包 迁 区 块 链 。 如 果 节 点 接收 到 的 交易 在 交易 池 里 已 
经 存在 ， 就 不 会 再 次 把 它 传 播 出 去 。 这 样 ， 就 确保 了 泛 法 协 议会 自动 终结 ， 而 
不 是 让 一 个 交易 在 网 络 一 再 被 传播 永 不 停止 。 由 于 每 个 交易 都 有 一 个 独一无二 
的 哈 布 值 ， 所 以 节点 可 以 非常 方便 地 查询 某 个 交易 是 否 在 自己 的 交易 池 里 。 

万 点 接收 到 一 个 新 交易 信息 时 ， 如 何 核验 呢 ? 这 里 有 四 个 关卡 : 第 一 个 


wNv ai bbt.com DODODDDDOD 





87 


区 块 链 ， 技术 驱动 金融 


是 最 重要 的 一 个 是 交易 验证 ， 也 就 是 验证 交易 在 当前 的 区 块 链 中 是 有 效 的， 市 
点 会 针对 每 个 前 序 交 易 的 输出 运行 核验 脚本 ， 确 保 脚 本 的 返回 值 都 为 真 ; 
检查 是 否 有 双重 支付 ; 第 三 ， ee 节点 会 检查 这 笔 交 易 信 息 是 不 是 已 
经 被 本 节点 接收 过 ; 第 四 ， 节点 只 会 接收 和 传递 在 白 名 单 上 的 标准 脚本 。 

上 述 所 有 检查 都 是 合理 检查 ， 所 有 节点 很 好 地 执行 这 些 检 查 能 够 使 网 络 健 
康 、 稳 定 地 和 运行， 但 实际 上 并 没有 规则 强制 节点 执行 这 些 检查 。 虽 然 如 此 ， 每 
个 节点 还 是 有 必要 进行 检查 的 一 一 因为 比特 币 网 络 是 一 个 点 对 点 的 对 等 网 络 ， 
任何 人 都 可 以 随时 加 入 ， 总 有 一 些 节 点 会 发 出 双重 文 付 ， 或 者 非 标准 脚本 的 交 
易 ， 其 至 彻底 就 是 非法 交易 。 

由 于 网 络 传递 有 延 汉 ， 不 同 的 节点 可 能 会 有 不 同 的 交易 池 。 当 有 双重 支付 
攻击 的 时 候 ， 这 个 现象 会 变 得 十 分 有 意思 。 假 设 爱 丽 丝 想 把 同一 个 比特 币 支 付 
给 鲍 勃 与 查理 ， 于 是 ， 爱 丽 丝 几乎 同时 发 出 两 笔 交 易 。 i 点 先 听 到 爱丽 丝 
一 鲍 动 交易 ， ne 当 一 个 节点 接收 到 了 这 两 个 交 
易 当 中 任何 一 in 
个 交易 ， et 这 个 市 点 就 会 把 它 丢 弃 掉 不 表 疝 外 传播 。 
结果 就 是 众多 的 市 点 会 对 “ 哪 一 个 交易 应 该 被 纳入 区 块 链 ” 产 生 分 歧 。 这 种 情 
况 被 称 为 区 态 条 件 (race condition ) 。 

好 在 对 于 比特 币 来 说 ， 这 完全 不 是 问题 : 打包 下 一 个 区 块 的 矿工 会 打破 这 
个 僵局 ， 他 会 决定 哪个 交易 会 最 终 打 包 进 这 个 区 块 。 如 果 爱 丽 丝 一 鲍 勃 的 交易 

进入 区 块 ， 那 些 听 到 爱丽 丝 一 查理 的 节点 会 把 爱丽 丝 一 查理 的 交易 从 交易 池 里 
别 除 ， emda 
另 别 除 出 去 ， 因 为 这 笔 交 易 已 经 被 纳入 区 块 链 。 因 此 ， 这 个 区 块 被 传播 以 
后 ， 承 不 再 有 前 面 说 的 分 必 了 。 

由 于 每 个 市 点 默认 保留 最 早 接收 到 的 交易 ， 所 以 节点 在 网 络 上 的 位 置 就 很 
重要 。 如 果 两 个 矛盾 的 交易 或 区 块 在 网 络 上 两 个 不 同 地 方 被 发 起 ， 它 们 会 同时 
回 整 个 网 络 广播 ， 节 点 先 接收 到 哪个 交易 取决 于 它 在 网 络 的 位 置 。 





T 态 条 件 也 可 理解 为 紊乱 情况 。 一 一 译 者 注 
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当然 ， 这 基于 一 个 假设 : 不 管 接收 到 什么 信息 ， 每 个 节点 均 保 留 最 早 接收 
到 的 交易 。 但 是 比特 币 网 络 是 一 个 对 等 的 网 络 ， 节 点 并 不 被 强制 要 求 这 么 做 ， 
任何 节点 都 有 权 按 照 其 他 逻辑 行事 ， 并 按照 所 选 的 逻辑 决定 到 底 保留 哪个 交易 、 
转播 哪些 交易 ， 我 们 会 在 第 5 章 的 矿工 奖励 部 分 讨论 这 个 问题 。 


人 3 和 零 验证 交易 和 费用 蔡 代 策略 (replace-by-fee) 


在 第 2 章 我 们 讨论 了 零 验证 交易 ， 即 一 旦 交易 在 网 络 中 广播 ， 接 收 方 就 
立即 接受 交易 。 零 验证 交易 不 是 用 来 防止 重复 支付 的 ,但 由 于 矿工 的 缺 省 行 
为 是 把 先 接收 到 的 交易 放 入 交易 池 ， 这 样 ， 在 零 验 证 交易 里 就 很 难 实现 重复 
支付 ， 同 时 ， 由 于 零 验证 交易 非常 方便 ， 因 此 变 得 越 来 越 普 及 。 

自从 2013 年 ， 矿 工 的 缺 省 行为 变 成 了 “费用 蔡 代 策略 ”"， 即 节点 在 遇 到 
有 冲突 的 交易 时 ， 会 把 交易 手续 费 更 高 的 交易 放 进 自己 的 交易 池 ， 把 手续 费 
更 低 的 替换 出 去 。 站 在 矿工 的 角度 ， 由 于 收益 更 高 ， 因 此 也 是 理性 的 选 
择 一 一 至 少 在 短期 看 是 这 样 。 但 是 这 种 费用 替代 策略 却 使 多 重 支 付 攻 击 变 得 
更 容易 了 。 

因此 ， 费 用 替代 策略 受到 了 不 少 争议 ， 这 些 争议 一 方面 从 技术 层面 讨论 
在 费用 替代 策略 中 是 否 可 以 真正 阻止 多 重 支 付 ， 为 一 方面 从 哲学 层面 讨论 比 
特 币 是 不 是 应 该 要 尽 可 能 支持 零 验 证 ， 或 直接 放弃 费用 替代 策略 。 我 们 这 里 
就 不 再 袭 述 这 些 讨论 了 很 久 的 争议 了 ， 但 最 近 比 特 币 核心 代码 倒 选 用 了 “有 
选择 权 的 ” (opt-in) 费用 替代 策略 的 做 法 ， 也 就 是 交易 可 以 标记 自己 是 否 适 
用 费用 蔡 代 策略 。 





上 面 说 的 是 交易 的 传播 。 至 于 区 块 的 传播 ， 即 矿工 挖 到 一 个 矿 (打包 一 个 
区 块 )， 然 后 将 区 块 加 入 区 块 链 ， 这 个 过 程 与 新 交易 的 传播 过 程 类 似 ， 也 受 同样 
苑 仿 条 件 的 限制 。 如 果 两 个 有 效 的 区 块 同时 被 挖 到 (也 就 是 有 两 个 矿工 同时 获 
得 了 记 账 权力 时 )， 只 有 其 中 一 个 区 块 可 以 进入 长 期 共识 链 ， 哪 个 区 块 被 最 终 纳 
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入 长 期 共识 链 取 决 于 其 他 节点 选择 在 哪个 区 块 上 扩展 区 块 链 ， 未 被 纳入 的 一 个 
即 被 丢弃 。 

核验 一 个 区 块 要 比 核验 一 个 交易 复杂 得 多 。 除 了 确认 区 块头 部 ， 确 定 里 
面 的 哈 希 值 是 在 可 以 接受 的 范围 内 ,节点 还 必须 确认 区 块 里 的 每 个 交易 。 最 
后 ， 一 个 节点 往外 传播 的 区 块 必 须 是 最 长 的 一 条 区 块 链 上 新 加 入 的 区 块 ( 当 
然 ,“ 最 长 的 区 块 链 ” 取 决 于 节点 对 区 块 链 当前 状态 的 认识 )。 只 有 这 样 才 可 
以 防止 区 块 链 分 又 。 但 就 像 传播 交易 时 一 样 ， 节 点 同样 可 以 执行 它 自 己 的 逮 
辑 : 它 可 以 选择 传递 无 效 的 区 块 ， 也 可 以 选择 传递 在 共识 链 上 更 早 加 入 的 区 
块 而 不 是 最 新 加 入 的 区 块 。 这 样 就 会 造成 一 个 分 义 , 不 过 这 种 情况 是 协议 可 
以 承受 的 。 

泛 洪 算法 (flooding algorithm) 的 延迟 情况 到 底 怎 样 呢 ? 我 们 一 起 看 一 下 
图 3.9， 这 张 图 展示 了 区 块 被 网 络 中 不 同 数量 的 节点 接收 所 花费 的 时 间 ( 秒 )。 
三 条 线 分 别 代 表 区 块 被 网 络 中 25% 、50% 、75% 的 节点 接收 到 所 需要 的 时 间 。 
可 以 看 到 ， 由 于 网 络 带宽 的 限制 ， 比 较 大 的 区 块 需要 30 秒 左 右 才 能 传播 到 大 部 
分 的 节点 。 所 以 这 个 协议 不 是 很 有 效率 。 在 互联 网 上 30 秒 是 比较 长 的 时 间 了 ， 
在 比特 币 的 设计 里 ， 简 便 是 第 一 位 的 (简单 的 网 络 、 节 点 可 随时 加 入 或 退出 )， 
而 效率 是 第 二 位 的 ， 所 以 在 比特 币 网 络 里 ,一 个 区 块 可 能 需要 经 过 很 多 节点 才 
到 达 最 远 的 节点 。 如 果 网 络 采 取 自 上 而 下 的 设计 ， 那 我 们 就 需要 使 任何 两 个 节 
点 的 距离 都 很 短 。 


网 络 大 小 

比特 币 网 络 大 小 很 难 测量 ， 因 为 它 随时 都 在 变化 ， 而 且 没 有 一 个 中 央 权 威 
机 构 。 有 些 人 通过 人 研究 给 了 一 些 估计 : 往 高 说 ， 每 个 月 可 能 有 100 万 个 IP 地 址 
成 为 比特 币 网 络 的 节点 (也 可 能 是 临时 成 为 节点 )。 往 低 说 ， 大 约 只 有 5 000 ~ 
10 000 市 点 永远 在 线 并 处 理 交 易 。 这 个 数字 有 点 出 平 意 料 得 小 ， 但 是 截至 本 书 
完成 时 ， 并 没有 证 据 表 明永 远 在 线 的 节点 数量 在 升 高 或 降低 。 
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图 3.9 区 块 传播 时 间 
注 : 展示 了 区 块 被 网 络 中 不 同 数量 〈 百 分 比 ) 的 节点 接受 所 花费 的 时 间 。 
资料 来 源 : Yonatan Sompolinsky 和 Aviv Zohar， 加 快 比 特 币 交易 的 传播 速度 ( Accelerating Bitcoin's 
Transaction Processing，2014 ) 。 可 从 下 述 网 址 获得 https: /eprint iacr org/2013/881. 
数据 由 Yonatan Sompolinsky 和 Aviv Zohar 授权 使 用 


仓储 空间 需求 

完全 有 效 的 节点 必须 永久 在 线 ， 这 样 才 能 接收 到 所 有 的 交易 数据 。 一 个 节 
点 离线 时 间 越 入 ， 当 它 重 新 连接 到 网 络 的 时 候 ， 就 需要 越 多 时 间 来 更 新 所 有 交 
吻 。 这 些 世 点 还 需要 把 完整 的 共识 区 块 链 都 存储 下 来 ， 也 需要 有 好 的 网 络 连接 ， 
确保 可 以 接收 到 所 有 交易 并 将 其 转播 给 其 他 节点 。 目 前 的 存储 空间 大 约 要 几 十 
个 GB ( 见 图 3.10), 一 台 台 式 机 就 能 满足 要 求 。 

最 后 ， 完 全 有 效 节点 必须 维护 在 交易 中 产生 的 〈 交 易 的 输出 ) 、 未 被 消费 掉 
的 比特 币 的 完整 列表 ， 这 个 列表 最 好 放 在 内 存 而 非 硬盘 里 ， 这 样 ， 在 接收 到 一 
个 交易 信息 的 时 候 ， 节 点 才能 快速 查看 、 运 行 脚 本 ， 验 证 签名 是 否 有 效 ， 然 后 
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把 交易 放 人 交易 池 。 到 2014 年 年 中 ， 大 约 有 4 400 万 的 交易 被 纳入 区 块 链 ,其 
中 有 1 200 万 个 交易 产生 的 比特 币 没 有 被 使 用 。 还 好 ， 这 个 数据 不 大 ， 可 以 很 容 
易 地 放 进 1G 内 存 里 。 


MB ( 千 ) 
60 


30) 


0 
1 月 9 日 1 月 10 日 1 月 11 日 1 月 12 日 1 月 13 日 1 月 14 日 1 月 1 日 1 月 i169 


图 3.10 区 块 链 的 大 小 
注 : 全 节点 必须 保持 整个 区 块 链 ， 在 2015 年 年 底 ， 区 块 链 大 小 在 50GB 以 上 。 


轻 量 忆 点 


除了 完全 有 效 节 点 之 外 ， 还 有 一 种 轻 量 节点 (nightweight nodes) ， 或 者 称 为 
轻 客户 端 ， 也 叫 简单 付款 验证 (Simple Payment Verification ， 简 称 SPV) 客户 端 。 
事实 上 ， 在 比特 币 系统 里 的 大 部 分 节点 都 是 轻 量 节点 。 这 些 节 点 不 会 存储 整个 
比特 币 区 块 链 ， 它 们 只 存储 它们 所 关心 的 、 需 要 进行 核验 的 部 分 交易 。 如 果 你 
使 用 一 个 钱包 软件 ， 那 里 面 就 会 有 一 个 SPV 节点 ， 这 个 节点 只 会 下 载 向 你 的 账 
户 付款 的 交易 及 区 块头 部 。 

一 个 SPV 节点 的 安全 等 级 远 不 如 全 节点 。 它 可 以 核验 那些 很 难 被 挖 到 的 区 
块 一 一 因为 它 有 区 块头 部 数据 ， 但 它 不 能 核验 一 个 区 块 里 所 有 交易 记录 的 有 效 
性 一 一 因为 它 没 有 所 有 的 交易 历史 记录 ， 也 没有 那些 未 被 消费 的 比特 币 的 列表 。 
SPV 市 点 只 验证 那些 和 它们 相关 的 交易 ， 所 以 它们 必须 依赖 那些 全 节点 去 验证 
网 络 上 的 其 他 所 有 交易 。 这 虽然 是 一 种 安全 性 上 的 妥协 ， 却 不 是 个 坏 主 意 : 轻 
量 节 点 依赖 全 节点 去 处 理 那些 比较 难 的 工作 ， 但 当 某 个 区 块 由 于 某 些 原因 未 被 
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矿工 控 出 来 时 〈 挖 矿 成 本 巨大 ) ， 这 些 轻 量 节 点 也 会 做 一 些 核验 来 确保 这 个 区 块 
不 会 被 拒绝 。 

作为 一 个 SPV 节点 可 以 节省 很 多 资源 。 区 块头 部 的 大 小 只 是 整个 区 块 链 的 
千 分 之 一 。 所 以 轻 量 节点 不 需要 几 十 G 的 存储 空间 ， 只 需要 几 十 MB 即 可 ， 即 
使 一 部 智能 手机 也 能 成 为 比特 币 网 络 的 轻 量 节点 。 

比特 币 是 一 个 开源 协议 ， 比 特 币 网 络 一 定 是 由 实现 方式 各 不 相同 的 软件 系 
统 在 无 颖 交互。 这 样 ， 即 使 有 些 软 件 系统 有 人 缺陷 ， 也 不 至 于 使 整个 比特 币 网 络 
瘫痪 。 比 较 好 的 现象 是 ， 人 们 用 不 同 的 语言 不 断 地 重新 实现 协议 ， 有 些 人 用 
C+ + 、 有 些 人 用 Go 语言， 还 有 不 少 人 用 其 他 语言 。 不 好 的 现象 是 ， 绝 大 部 分 
的 节点 都 会 调用 比特 币 官 方 客户 端的 资源 库 (bitcoind library ) ， 这 个 库 是 比特 币 
核心 代码 开发 者 们 用 C + + 开发 的 库 ， 而 且 有 些 节 点 用 的 是 过 时 的 版 本 。 所 以 ， 
即使 在 同一 时 间 ， 大 家 运行 的 客户 并 都 略 有 不 同 。 


3.6 限制 与 优化 


最 后 我 们 要 谈 一 下 比特 币 协 议 的 一 些 内 在 限制 ， 以 及 优化 的 难度 。 在 比特 
币 2009 年 刚 问 世 的 时 候 ， 它 的 协议 有 许多 内 在 的 硬性 限制 ， 那 是 因为 在 那 时 没 
有 人 会 想到 它 会 发 展 成 一 个 重要 的 国际 货币 。 比 如 每 个 区 块 的 平均 时 间 、 块 的 
大 小 、 每 个 区 块 的 签名 数目 、 切 分 性 、 比 特 币 总 量 、 区 块 奖励 结构 等 。 

比特 币 的 总 体 数量 与 记 账 奖励 很 可 能 永远 都 不 会 改变 ， 因 为 那样 经 济 影响 
太 大 。 夏 工 与 投资 人 都 在 比特 币 现 有 的 框架 内 投入 巨 资 ， 如 果 这 个 框架 改变 了 ， 
会 对 他 们 产生 巨大 冲击 。 所 以 ,社区 基本 达成 共识 ,不 管 这 些 特性 好 或 不 好 ， 
都 不 应 该 改变 。 

但 其 他 一 些 方面 的 改善 可 以 让 所 有 人 受益 一 一 因为 一 些 初始 设计 事后 来 看 
确实 不 太 合理 。 其 中 最 主要 的 是 比特 币 系统 的 交易 处 理 能 力 。 每 秒 钟 比特 币 网 
络 到 底 可 以 处 理 多 少 交 易 ? 这 个 硬 伤 来 自 对 区 块 大 小 的 硬性 规定 ， 每 个 区 块 大 
小 限定 在 1MB ， 每 个 交易 大 约 是 250 字 节 ， 所 以 每 块 最 多 容纳 4 000 个 交易 。 平 
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均 每 隔 10 分 钟 ， 有 一 个 矿工 获得 记 账 权利 ， 所 以 每 秒 钟 只 能 处 理 7 个 交易 ， 这 
就 是 比特 币 网 络 的 交易 处 理 能 力 ! 似乎 改 掉 这 些 限制 只 是 需要 改 掉 源 代码 的 某 
些 常数 这 么 简单 ， 实 际 上 却 并 不 容易 ， 后 面 我 们 会 简单 分 析 一 下 原因 。 

比特 币 的 交易 处 理 能 力 到 底 属于 什么 水 平 ” 和 前 主流 的 一 些 信用 卡 公司 相 
比 ， 比 特 币 这 个 处 理 能 力 实在 太 低 了 。 我 们 可 以 做 一 下 比较 : 维 院 (Visa) 平 
均 每 秒 处 理 2 000 笔 交 易 ， 峰 值 每 秒 处 理 10 000 笔 交 易 。 贝 宝 (PayPal) 的 交易 
处 理 能 力 比 维 萨 弱 ， 但 峰值 时 每 秒 也 能 处 理 100 笔 交 易 。 比 特 币 无 法 处 理 这 种 
量 级 的 交易 。 

男 一 个 限制 是 比特 币 用 的 密码 算法 。 现 在 只 有 几 个 哈 希 肾 数 算法 和 一 个 签 
名 算法 可 以 使 用 。 上 比特 币 使 用 的 签名 算法 是 ESDSA 一 一 一 种 secp256kl 的 椭圆 曲 
线 数字 签名 算法 〈 见 第 1 章 ) ， 大 家 担心 在 比特 币 的 一 生 (大 家 都 希望 是 很 长 的 
一 生 ) 中 ， 这 个 算法 可 能 会 被 攻破 。 哈 布 困 数 也 有 同样 的 问题 ， 比 特 币 使 用 的 
SHA -1 也 有 弱点 ， 进 10 年 来 ， 对 SHA -1 的 分 析 也 逐步 取得 了 一 些 进 展 ( 尺 
管 并 不 致命 ) 。 为 了 改变 这 些 问题 ,我 们 不 得 不 加 强 比特 币 的 脚本 语言 来 文 持 新 
的 密码 算法 。 


修订 协议 

那 我 们 到 撒 怎 样 才能 修订 比特 币 协议 并 引入 一 些 新 特性 呢 ? 你 也 许 认 为 这 
很 简单 ， 只 要 发 布 一 个 新 版 本 ， 然 后 更 新 所 有 的 节点 。 但 事实 上 非常 复杂 ， 实 
际 中 ， 我 们 根本 无 法 假定 所 有 的 节点 都 会 更 新 版 本 。 网 络 里 的 某 些 节点 会 无 法 
狭 取 新 版 本 ， 或 无 法 及 时 获取 新 版 本 。 绝 大 多 数 节 点 更 新 了 协议 、 部 分 节点 没 
有 更 新 的 后 采 征 否 产 重 ， 取 决 于 协议 更 新 的 内 容 。 按 照 产 生 的 结果 ， 协 议 修 订 
可 以 分 为 两 种 类 型 : 一 种 会 造成 便 分 又 ， 另 一 种 会 造成 软 分 叉 。 


硬 分 又 

通过 修订 协议 引入 新 的 特性 ， 可 能 会 使 前 一 版 本 的 协议 失效 。 即 运行 新 版 
协议 的 节点 认定 为 有 效 的 区 块 ， 会 被 运行 旧版 协议 的 节点 认定 为 无 效 。 而 由 于 
我 们 不 能 确保 每 个 节点 都 会 更 新 协议 ， 我 们 只 能 假定 大 部 分 节点 已 经 升级 (新 
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节点 ) ， 但 还 有 部 分 节点 没有 升级 〈 老 节点 ) ， 很 快 ， 最 长 的 那个 区 块 链 分 文 里 
包含 的 某 些 区 块 会 被 老 节点 认定 为 无 效 区 块 ， 因 此 ， 老 市 点 会 认为 其 他 的 分 文 
(在 这 个 分 支 中 ， 所 有 新 节点 认为 有 效 的 区 块 都 会 被 排除 在 外 ) 才 是 最 长 、 有 效 
的 区 块 链 分 支 ， 并 一 直 扩 展 这 个 分 支 ， 直 到 它们 更 新 了 版 本 。 

这 种 改变 称 为 硬 分 又 ， 它 使 得 原先 的 链 分 裂 了 了。 网络 上 的 所 有 节点 会 根据 
其 所 运行 的 协议 版 本 去 扩展 两 条 不 同 的 区 块 链 ， 当 然 ， 这 两 个 分 叉 再 也 不 会 合 
并 。 那 些 老 节点 只 要 不 更 新 版 本 ， 就 被 永远 地 排除 在 了 为 一 条 链 之 外 ， 这 是 比 
特 币 社区 所 不 能 接受 的 。 


软 分 又 

另 一 种 修订 是 加 入 新 的 特性 ， 让 现 有 的 核验 规则 更 加 严格 。 那 样 老 的 节操 
依然 会 接收 所 有 的 区 块 ， 而 新 的 节点 会 拒绝 一 些 。 这 样 的 改变 叫 作 “ 软 分 又 。 
这 可 以 避免 硬 分 又 所 造成 的 永久 分 型 。 

我 们 如 果 引 入 可 以 产生 软 分 又 的 新 版 协议 ， 会 有 什么 后 果 呢 ? 运行 新 版 协议 
的 节点 会 使 用 一 些 更 严格 的 规则 ， 现 在 ,假定 绝 大 部 分 三 点 都 更 新 了 新 版 协议 并 
执行 新 的 规则 (这 是 产生 软 分 义 的 天 键 ， 因 为 老 廊 点 不 会 执行 新 规则 ， 新 广 挟 的 
数量 要 足够 多 才能 够 竞争 最 长 的 链 ) 。 这 种 情况 下 ， 老 节点 可 能 会 挖 到 一 些 无 效 的 
区 块 一 一 因为 这 些 区 块 中 包含 一 些 在 新 规则 下 无 法 核验 通过 的 交易 ， 然 后 ， 老 市 
点 会 知道 它们 核验 有 效 的 区 块 不 被 别 的 厂 点 接受 【即使 它们 并 不 知道 原因 ) ， 这 使 
得 老大 点 的 矿工 会 去 更 新 协议 。 而 且 ， 如 果 新 性 点 用 它们 的 区 块 扩展 了 老 节 点 的 分 
那么 ， 老 蔬 点 也 会 转 而 扩展 这 个 分 文 ， 原 因 是 新 节点 核验 通过 的 区 块 ， 老 节点 

必定 能 核验 通过 。 这 样 就 没有 使 分 又 了 ， 只 是 会 有 很 多 临时 的 小 型 分 叉 而 已 。 

本 章 3. 2 市 提 到 的 “支付 给 脚本 的 哈 希 值 ” 就 是 软 分 义 的 一 个 经 典 例子 。 第 
一 版 比特 币 协议 里 并 没有 P2SH。P2SH 之 所 以 造成 软 分 又 ， 是 因为 对 老 节 点 而 言 ， 
一 个 有 效 的 P2SH 交易 也 可 以 核验 通过 一 一 它 只 验证 这 个 哈 希 值 跟前 一 笔 交 易 输 出 
哈 布 值 是 不 是 一 样 而 已 ， 它 并 不 知道 还 要 进一步 检验 脚本 是 否 合法 。 我 们 依赖 新 
版 斑点 去 进行 这 项 核验 : 脚本 本 身 真 的 可 以 获取 到 前 一 个 交易 输出 的 币 。 

那 我 们 到 底 可 以 通过 软 分 又 为 比特 币 协 议 添加 哪些 特性 呢 ? P2SH 是 成 功 
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的 ， 也 许 添加 新 的 密码 算法 也 可 以 通过 软 分 又 实现 。 我 们 也 可 以 通过 软 分 义 在 
元 数据 的 币 基 参 数 中 添加 更 多 的 信息 实现 ， 目 前 ， 币 基 参 数 可 以 是 任何 数值 ， 
但 未 来 我 们 也 许可 以 限定 币 基 参数 的 格式 。 已 经 有 人 提出 ， 可 以 在 币 基 参数 里 
放 和 人 一 个 梅 克 尔 树 根 ， 其 中 包含 所 有 未 被 消费 的 比特 币 的 信息 。 这 种 做 法 只 会 
造成 软 分 又 ， 因 为 老 节点 核验 通过 的 区 块 ， 在 新 节点 上 可 能 无 法 核验 通过 。 但 
随 着 区 块 链 的 延长 ， 很 快 老 版 本 就 会 转 而 去 扩展 最 长 的 区 块 链 分 支 。 

其 他 的 一 些 改 变 可 能 就 会 产生 硬 分 又 了 ， 比 如 在 比特 币 里 添加 新 的 功能 操 
作 代 码 、 改 变 区 块 大 小 和 交易 规模 ， 甚 至 其 他 一 些 修 复 性 的 改动 。 本 章 3.2 节 
提 到 过 MULTISIG 指令 存在 一 个 缺陷 ， 它 会 推送 给 堆栈 一 个 莫名 其 妙 的 值 ， 要 修 
复 这 个 缺陷 ， 也 会 产生 硬 分 又 。 这 就 是 为 什么 尽管 这 个 缺陷 很 烦人 ,但 也 一 直 
没有 修复 ， 因 为 和 硬 分 又 相 比 ， 保 留 一 个 缺陷 还 是 可 以 忍受 的 。 有 些 修订 非常 
有 意义 ,但 目前 比特 币 环境 不 太 可 能 接受 人 硬 分 又 。 但 许多 优秀 想法 都 在 其 他 的 
竞争 币 中 得 到 了 测试 而 且 成 功 运行 ， 因 为 那些 竞争 币 系 统 是 从 头 开 始 建立 的 ， 
硬 分 义 不 会 产生 严重 的 后 果 。 我 们 会 在 第 10 章 进 行 更 多 的 讨论 。 


人 比特 币 区 块 大 小 的 难题 


因为 比特 币 变 得 越 来 越 受 欢迎 ， 到 2016 年 年 初 ， 已 经 开始 经 常 发 生 区 块 
被 交易 写 满 的 情况 ， 尤 其 是 当 区 块 在 超过 10 分 钟 后 还 没有 被 矿工 挖 出 来 时 
( 因为 控 矿 的 随机 性 ， 确 实 有 些 区 块 在 10 分 钟 后 还 没有 被 挖 到 ) ， 这 使 得 有 些 
交易 不 得 不 排队 等 待 被 写 进 区 块 链 。 但 要 改变 区 块 大 小 ， 就 需要 硬 分 又 。 

究竟 是 否 要 改变 ， 以 及 如 何 改变 区 块 大 小 ， 在 比特 币 社区 里 有 热烈 的 讨 
论 。 这 些 讨 论 几 年 前 就 开始 了 ， 但 一 直 进展 缓慢 ， 无 法 达成 共识 ， 近 来 讨论 
日 趋 激烈 。 我 们 在 后 面 第 7 章 会 讨论 比特 币 的 社区 、 政 治 与 管理 。 

随 着 区 块 大 小 问题 得 到 共识 解决 方案 ， 本 章 的 一 些 细节 有 可 能 就 会 过 时 。 
提高 比特 币 交易 处 理 能 力 的 一 些 技术 细节 很 有 意思 ， 我 们 鼓励 读者 可 以 通过 
网 络 阅读 更 多 的 资料 。 
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到 了 这 里 ， 你 一 定 对 比特 币 的 技术 机 制 有 了 一 定 程度 的 了 解 ， 也 知 拓 比特 
币 节点 是 如 何 工作 的 。 但 是 我 们 自身 并 不 是 一 个 比特 币 节点 ， 你 不 会 在 大 脑 里 
运行 比特 币 节 点 程序 。 那 我 们 到 底 如 何 和 网 络 进行 交互 ， 从 而 使 比特 币 可 以 成 
为 一 种 货币 呢 ? 如 何 让 一 个 节点 通知 你 交易 信息 呢 ? 如 何 使 用 现金 来 交换 比特 
币 呢 ?7 又 如 何 储 存 比特 币 呢 ? 对 于 如 何 创造 一 种 可 被 人 们 使 用 的 货币 〈 而 不 仅 
仅 是 一 个 软件 ) 来 说 ， 这 些 问 题 至 关 重 要 ， 我 们 将 会 在 下 一 章 回 答 这 些 问题 。 


延伸 阅读 


在 这 一 章 中 我 们 讨论 了 很 多 技术 细节 ， 你 也 许 很 难 一 次 消化 。 作 为 本 章 的 
补充 读物 ， 你 可 以 上 网 查阅 一 些 我 们 讨论 过 的 资料 。 网 上 有 许多 网 站 能 让 
你 看 到 区 块 和 交易 到 底 是 什么 样子 的 。 比 如 有 一 个 “区 块 链 浏览 器 "”， 网 址 


2 


是 . blockchain. info 。 


还 有 一 本 比特 币 开 发 手册 也 很 好 地 讲述 了 一 些 技术 细节 (尤其 是 其 中 的 第 
五 、 第 六 和 第 七 草 ) : 
Antonopoulos, Andreas M. Mastering Bitcoin: Unlocking Digital Cryptocurrencies. 


Newton, MA.: O’Reilly Media, 2014. 
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本 章 主要 讨论 实际 应 用 中 如 何 储存 和 使 用 比特 币 。 
4.1 简单 的 本 地 储存 


让 我 们 从 最 简单 的 储存 方式 开始 ， 也 就 是 把 比特 币 存 放 在 本 地 设备 上 。 如 
我 们 之 前 所 说 ， 要 使 用 比特 币 ， 你 首先 要 知道 一 些 公共 的 信息 和 一 些 私密 的 信 
息 。 公 共 信 息 就 是 那些 记录 在 区 块 链 上 的 内 容 一 一 该 比特 币 的 识别 信息 、 币 值 
等 。 私 密 信 和 息 即 比特 币 择 有 人 一 一 也 就 是 你 本 人 的 私 钥 。 你 不 必 太 担心 如 何 储 
仔 公 共 信 息 ， 因 为 你 随时 都 可 以 去 调 取 。 但 是 私 钥 则 是 你 需要 好 好 保管 的 。 所 
以 在 实际 运用 中 ， 储 存 比 特 币 就 是 储存 与 管理 你 的 私 钥 。 


储存 比特 币 其 实 就 是 如 何 保存 和 管理 比特 币 私 钥 。 


储存 与 管理 私 钥 ， 主 要 有 三 个 目标 : 第 一 是 可 获取 性 ， 当 你 要 用 比特 币 的 
时 候 ， 可 以 随时 随地 取 用 ; 第 二 是 安全 性 ， 保 证 没有 其 他 人 可 以 动用 你 的 比特 
币 ， 如 宁 有 人 能 动用 你 的 比特 币 ， 那 他 可 以 直接 转账 给 自己 ， 之 后 你 就 不 再 拥 
有 这 个 比特 币 ; 第 三 是 便利 性 ， 密 钥 管 理应 当 是 简单 易 行 的 。 你 可 以 想到 ， 要 
同时 做 到 这 三 点 是 很 不 容易 的 : 


不 同 的 窖 钥 管 理 方法 就 是 对 上 述 三 点 〈 可 获取 性 、 安 全 性 和 便利 性 ) 做 出 权衡 。 
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最 简单 的 钥匙 管理 当然 是 把 它们 储存 在 你 自己 的 本 地 设备 上 : 你 的 个 人 电 
脑 、 你 的 手机 ,或 你 持 有 的 、 拥 有 的 或 控制 的 小 玩意 。 用 智能 手机 应 用 软件 ， 
按 几 个 键 你 就 可 以 支配 使 用 你 的 比特 币 了 ,这么 做 的 确 非 常 方 便 。 但 这 样 做 的 
可 获取 性 或 安全 性 都 不 是 很 好 ， 如 果 你 的 设备 丢失 ,或 者 你 的 设备 死机 ， 你 需 
要 格式 化 你 的 磁盘 ， 或 者 你 的 文件 被 病毒 侵蚀 ， 你 的 私 钥 就 丢失 了 ， 你 的 比特 
币 也 就 一 同 丢失 了 。 安 全 性 方面 的 问题 是 类 似 的 ， 例 如 有 人 先 取 你 的 设备 或 人 
侵 你 的 设备 或 者 让 你 的 设备 中 毒 ， 将 你 的 私 钥 找 贝 ， 这样 他 们 就 可 以 将 你 所 有 
的 比特 币 转 给 他 们 目 己 了 了 . 

换言之 ， 将 私 钥 存 储 在 你 的 本 地 设备 ， 尤 其 是 手机 设备 ， 就 好 比 你 将 钱 放 
在 你 的 钱包 里 。 在 日 常人 花 销 的 时 候 是 很 方便 , 但 你 一 定 不 想 将 你 的 毕生 积蓄 都 
惠 在 身边 ， 因 为 你 不 想 遗 失 或 被 盗 。 所 以 一 般 而 言 ， 你 只 把 一 小 部 分 信息 一 一 
一 小 部 分 钱 放 在 你 的 钱包 里 ， 而 把 你 大 部 分 钱 存 在 其 他 地 方 。 


比特 币 钱包 软件 

如 宁 你 想 本 地 存放 比特 币 ， 一 般 都 会 使 用 比特 币 钱包 软件 ， 也 就 是 一 个 管理 
你 的 比特 币 和 私 钥 信 息 并 让 你 方便 使 用 的 一 个 应 用 软件 。 例 如 你 想 花 相当 于 4. 25 
美元 的 比特 币 在 咖啡 第 天 杯 咖啡 ， 这 个 钱包 应 用 应 该 很 容易 让 你 做 到 。 比 特 币 钱 
包 非 常 有 用 ,尤其 是 你 需要 处 理 一 大 堆 地 址 和 与 其 相关 的 密 钥 的 时 候 。 前 面 说 过 ， 
制定 一 对 公 钥 私 钥 很 容易 ， 你 可 以 用 其 来 匿名 与 保护 你 的 个 人 隐私 。 钱 包 应 用 就 
是 这 样 一 个 简单 的 接口 ， 告 诉 你 钱包 里 有 多 少 比特 币 。 当 你 要 使 用 比特 币 的 时 候 ， 
它 会 处 理 天 于 密 钥 管理 的 一 切 技术 细节 ， 比 如 使 用 密 钥 或 生成 新 的 地 址 等 。 


编码 解码 (encoding keys ) . Base58 编码 和 二 维 码 

要 使 用 或 是 接收 比特 币 ， 你 需要 与 对 方 交换 地 址 一 一 比特 币 送 达 的 地 址 
目前 有 两 种 主流 的 方式 将 地 址 加 密 : 一 种 是 字符 串 ， 另 一 种 是 QR ( Quick Re- 
sponse ) 位 





1 QR 了 码 是 一 种 简单 的 二 维 但 泽 者 注 


ww ai bbt.com DODODDDDD 





Er 


如 何 储存 和 使 用 比特 币 


为 了 给 地 址 赋予 一 个 字符 串 ， 我 们 把 密 钥 的 字 节 从 二 进 制 字符 转换 成 Base58 
码 。Base58 就 是 用 一 个 包含 58 个 字符 的 字符 集 来 编码 ， 这 被 称 为 base58 记号 法 。 
为 什么 是 58 个 字符 ? 我 们 把 大 写 小 写字 母 都 算 上 ， 然 后 去 掉 几 个 比较 容易 混淆 的 
字母 ， 比 如 大 写 的 “0” 与 “0” 看 起 来 很 像 ， 就 得 到 了 58 个 字符 。 我 们 可 以 将 
加 密 的 地 址 读 出 来 ,或 者 在 需要 时 也 能 够 打印 出 来 。 理 想 情况 下 ， 最 好 能 避免 这 
种 手工 的 方式 ， 而 是 采用 其 他 方法 ， 例 如 我 们 接 下 来 要 讨论 的 QR 码 。 


1 AlzPlePSQGefi2DMPTfTLSSLmv7 Divf{Na 
以 上 就 是 比特 币 创 世 块 地 址 的 Base58 代码 ， 





图 4.1 QR 码 
注 : 一 个 QR 码 代 表 着 一 个 真实 的 比特 币 地 址 。 请 扫 上 面 的 QR 码 给 我 们 转账 一 些 比特 币 。 


第 二 种 方法 是 用 QR 码 ， 一 种 简单 的 二 维 码 。 用 QR 码 的 好 处 是 你 可 以 用 手 
机 拍 张 照片 ， 然 后 钱包 应 用 会 把 QR 码 自动 转换 成 代表 比特 币 地 址 的 字 节 。 这 对 
商店 十 分 有 用 : 比如 一 个 付款 机 可 以 显示 一 个 QR 码 ， 你 可 以 用 手机 扫描 一 下 ， 
然后 就 可 以 用 手机 把 比特 币 转账 到 付款 地 址 。 这 对 于 手机 与 手机 之 间 的 转账 也 
很 有 用 


虚 攻 地 址 


有 些 商 家 或 个 人 喜欢 将 地 址 转换 成 一 些 人 能 够 识别 的 字符 。 例 如 ， 博 彩 公 
司 网 站 中 本 联 骨 头 (Satoshi Bones) 的 收 款 地 址 中 就 含有 “骨头 ” (bones) ， 如 
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下 所 示 的 2 一 6 位 字符 (1bonesEeTcABPjLzAbl1VkFgySY6Zqu3sX) ， 当 然 所 有 的 地 
址 都 是 1 开头 的 ， 代 表 支 付 到 比特 币 地 址 的 标准 交易 或 者 说 是 标准 的 比特 币 转 
账 流程 (pay-to-pubkey-hash) 。 

地 址 都 是 通过 哈 硕 计算 产生 的 随机 字符 串 ， 那 么 如 何 才 能 获得 含有 
“bones” 字 符 串 的 地 址 呢 ? 如 果 中 本 聪 骨头 只 是 随便 制定 它们 的 地 址 ， 无 法 进 
行 逆 向 计算 哈 希 函数 ， 它 们 无 法 得 到 相应 的 私 钥 ， 也 无 法 控制 地 址 的 生成 。 这 
样 的 话 ， 它 们 只 能 不 停 地 重复 生成 私 钥 ， 直 到 私 钥 中 包含 它们 希望 出 现 的 字符 
串 。 这 样 的 地 址 被 称 为 虚荣 地 址 (vanity address ) 。 这 种 地 址 事实 上 是 可 以 通过 
工具 生成 的 。 

一 般 需 要 多 少 工作 量 能 得 到 这 样 的 结果 呢 ?” 由 于 每 个 字符 位 有 58 种 可 自 
性 ， 如 果 你 想得到 一 个 字符 串 中 有 k 个 字 市 的 特殊 字符 ， 你 平均 需要 生成 58 的 
k 次 方 次 地 址 ， 才 能 获得 你 要 的 结果 。 所 以 如 果 要 生成 “bones” 开 头 的 地 址 则 
要 生成 超过 6 亿 个 地 址 ! 这 个 工作 现在 通过 一 台 笔 记 本 电脑 就 可 以 完成 。 但 是 
你 每 增加 一 个 字符 ， 工 作 量 会 几何 级 数 增长 。 获 得 一 个 15 位 字符 的 地 址 需要 的 
计算 量 难 以 想象 ， 而 且 是 不 间断 的 哈 布 计算 ， 这 是 无 法 实现 的 。 


人 虚荣 地 址 的 加 速生 成 


在 比特 币 世界 ， 如 果 我 们 将 一 个 私 钥 称 为 x*， 公 钥 是 g*， 其 地 址 是 H (gg)， 
即 公 钥 的 哈 希 值 。 我 们 不 会 探讨 其 中 的 细节 。 但 是 通过 指数 运算 来 生成 地 址 
显然 是 很 慢 的 。 

最 直接 的 方式 是 挑选 一 个 伪 随 机 序列 x， 计算 H (g*)， 不 停 地 生成 地 
址 ， 直 到 得 到 想 要 的 结果 为 止 。 一 个 更 快 的 方式 是 ， 如 果 使 用 x 无 法 得 到 
想 要 的 结果 ， 接 下 来 就 使 用 x+1 来 计算 ， 如 此 反复 。 而 不 是 重新 挑选 一 个 
xo。 因为 gf =g g*， 而 我 们 已 经 计算 过 了 时 ， 所 以 我 们 只 需要 做 乘法 运算 
而 无 顷 做 指数 运算 ， 这 会 更 快 。 事 实 上， 这 种 方式 比 最 直接 的 方式 要 快 两 
个 数量 级 以 上 。 
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4.2 热 储 存 与 冷 储存 


如 我 们 所 看 到 的 ， 把 比特 币 放 在 你 的 个 人 电脑 里 就 像 把 钱 放 在 钱包 里 市 看 ， 
这 叫 “ 热 储存 ”"。 这 很 方便 但 很 不 安全 。 而 男 一 方面 , “ 冷 储 存 ” 是 离线 的 ， 把 
比特 币 锁 在 其 他 地 方 。 冷 储存 不 联 入 互联 网 ， 是 封存 起 来 的 。 所 以 相对 安全 和 
保险 ， 但 是 很 显然 不 方便 。 这 就 像 你 带 着 一 些 零 钱 出 去 ,但 是 把 终生 积蓄 锁 在 
保险 箱 里 的 道理 一 样 。 

要 分 开 热 储存 和 冷 储 存 ， 你 也 必须 要 用 不 同 的 私 钥 ， 否则 如 有 果 热 储存 被 人 
破坏 了 ， 冷 储存 也 会 处 于 危险 之 中 。 你 也 需要 把 币 在 两 边 转 来 转 去 ， 这样 两 边 
都 需要 知道 对 方 的 地 址 或 公 铀 。 

因为 冷 储存 是 离线 的 ， 所 以 热 储存 与 冷 储存 无 法 通过 网 络 相 连 , 但 其 实 冷 
储存 不 需要 上 线 就 可 以 接收 比特 币 一 一 热 储 存 端 知 道 冷 储存 的 地 址 ， 所 以 它 随 
时 可 以 给 冷 储 存 转账 。 当 你 觉得 你 的 钱包 里 的 钱 太 多 的 时 候 ， 你 可 以 把 一 部 分 
的 币 转 到 冷 储存 ， 但 不 需要 让 冷 储存 上 线 而 又 露 日 己 。 当 然 ， 只 要 冷 储 存 上 线 ， 
就 可 以 接收 到 区 块 链 的 转账 信息 ， 然 后 可 以 随意 处 理 这 些 比特 币 。 

但 管理 冷 储存 有 一 个 小 问题 ; 一 方面 ,为 了 私密 性 和 其 他 考虑 ， 我 们 希望 
使 用 不 同 的 地 址 (这些 地 址 有 不 同 的 密 钥 ) 收 蒜 。 所 以 我 们 把 比特 币 从 热 储存 
转 到 冷 储存 的 时 候 ， 要 用 一 个 新 的 冷 储存 地 址 。 但 是 由 于 冷 储存 不 上 线 ， 所 以 
热 存储 端 必须 要 能 找到 这 样 的 地 址 。 

一 个 直接 的 解决 方案 是 让 冷 储 存 一 次 性 生成 一 批 地 址 ， 然 后 把 地 址 列表 发 
送 给 热 储 存 ， 热 储存 可 以 依次 使 用 这 些 地 址 ， 当 然 ， 这 个 方法 的 缺陷 是 为 了 传 
送 地 址 ， 我 们 不 得 不 经 前 让 冷 储 人 存 端 上 线 。 


分 层 确 定性 钱包 


一 个 比较 有 效 的 解决 办 法 是 使 用 一 个 分 层 确定 性 钱包 《hierarchical determinis- 
tie wallet) 。 这 个 方法 可 以 让 冷 储存 端 制造 无 限制 的 地 址 数量 ， 然 后 通过 一 个 短暂 
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的 、 一 次 性 的 交换 ， 让 热 储存 端 知晓 所 有 地 址 。 但 这 和 需要 使 用 密码 学 的 技巧 。 

回想 一 下 ， 我 们 在 第 1 章 谈 到 密 钥 生成 和 电子 签名 时 ， 我 们 使 用 了 “gener- 
ateKeys” 来 生成 一 个 公 钥 (也 就 是 地 址 ) 和 一 个 私 钥 。 在 分 层 确定 性 钱包 里 ， 
生成 密 钥 的 方式 不 太一 样 。 不 同 于 生成 一 个 单一 地 址 ， 我 们 生成 一 个 被 称 为 
“地 址 生成 信息 ”的 东西 ; 我 们 也 不 只 生成 私 铀 ， 而 是 生成 “ 私 钥 生成 信息 ”。 
有 了 地 址 生成 信息 ， 我 们 就 可 以 生成 一 系列 地 址 。 我 们 把 地 址 生成 信息 和 一 个 
整数 站 作 为 地 址 生成 果 数 的 输入 参数 ， 就 生成 了 序列 里 的 第 个 地 址 。 同 样 ， 我 
们 用 私 钥 生 成 信息 来 生成 一 系列 私 钥 。 

密码 学 的 神奇 之 处 在 于 : 对 于 每 个 1 而 言 ， 第 i 个 地 址 和 第 i 个 私 钥 相 匹配 一 一 
换言之 ， 第 1 个 私 钥 控制 第 大 个 地 址 的 比特 币 ， 就 好 像 这 是 用 经 典 办 法 产生 的 。 这 样 
一 来 ,我 们 就 有 一 长 串 配 对 的 公 钥 和 和 密 钥 。 

密码 学 的 男 一 个 技术 优点 是 安全 性 一 一 地 址 生成 信息 并 不 会 泄露 关于 私 钥 
本 身 的 任何 信息 。 这 意味 着 你 可 以 放心 地 把 地 址 生成 信息 给 任何 人 ， 他 就 可 以 
用 它 来 生成 第 i 个 密 钥 。 

并 不 是 所 有 的 电子 签名 算法 目前 都 可 用 于 生成 分 层 确 定性 密 钥 。 比 特 币 使 
用 的 电子 签名 算法 ECDSA 支持 分 层 密 钥 ， 让 我 们 可 以 使 用 这 个 技巧 。 即 冷 储存 
站 生成 任意 多 个 密 铀 ， 热 储存 闪 生 成 相应 的 地 址 ， 见 加 4. 2。 


热 储存 端 本 


generateKeysHier 





冷 储存 端 


图 4.2 分 层 确定 性 钱包 示意 
注 : 冷 储 存 端 生成 和 保存 私 钥 生成 信息 和 地 址 生成 信息 ， 然 后 将 地 址 生成 信息 一 次 性 转 给 热 储 
存 端 。 当 热 储存 端 要 给 冷 储存 端 转账 时 ， 就 按 次 序 生成 新 的 地 址 。 冷 储存 端 上 线 后 ， 也 会 
按 顺 序 生 成 地 址 ， 然 后 查收 相应 地 址 收 到 的 款项 ， 直 到 某 一 地 址 没有 收 款 位 置 ， 如 果 冷 储 
仓 端 需要 问 热 储存 端 转账 ， 它 就 会 按 顺 序 生 成 私 钥 序 列 ， 
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ECDSA 的 工作 机 制 如 下 : 通常 一 个 ECDSA 私 钥 是 一 个 随机 数 x， 其 对 应 的 
公 钥 是 g*。 为 了 生成 分 层 确 定性 密 钥 ， 我 们 需要 为 外 两 个 随机 数 k 和 y。 


私 钥 生 成 信息 : k，x，y 

第 i 个 私 钥 : x=y+H (k i) 
地 址 生成 信息 : k，g 

第 i 个 公 钥 : 外 =g .g 
第 i 个 地 址 : H (g*) 


分 层 确 定性 钱包 有 我 们 需要 的 所 有 特性 : er 
而 且 这 些 公 钥 / 私 钥 相互 配对 (因为 与 私 钥 x 对 应 的 公 钥 就 是 g* ) 。 ， 这 种 
方法 还 具有 另外 一 种 我 们 尚未 提 及 的 特性 : 当 你 ppp 这 些 公 
钥 之 间 没 有 联系 ， 也 就 是 说 ， 别 人 无 法 断定 这 些 公 钥 来 自 同一 个 钱包 。 和 稻草人 
方案 ( 冷 储存 端 生成 大 量 的 地 址 ) 也 具有 这 种 特性 ， 但 我 们 需要 小 心地 保护 这 
些 地 址 ， 因 为 这 些 地 址 事实 上 并 不 是 独立 生成 的 。 这 种 特性 对 于 保护 隐私 和 实 
现 匿名 是 至 关 重 要 的 ， 我们 将 在 第 6 章 展开 讨论 。 

分 层 确 定性 钱包 有 两 种 不 同 的 安全 性 ， 热 储存 端的 安全 性 较 低 。 如 果 热 储 
存 受到 损害 ， 那 么 上 文 提 到 的 非 相 关 性 就 不 复 存 在 ， 但 这 种 情况 下 ， 私 钥 (以 
及 比特 币 ) 仍然 是 安全 的 。 通 常 ， 分 层 确定 性 钱包 支持 任意 多 个 安全 等 级 一 一 
这 也 是 “分 层 ” 的 由 来 一 一 里 然 ， 我们 还 没有 讨论 细节 。 这 种 安排 非常 有 用 ， 
例如 ， 当 一 家 公司 内 部 存在 多 种 授权 级 别 时 ， 就 需要 这 种 特性 。 

现在 ， 我们 讨论 一 下 冷 储 存 如 何 保 存 信 息 ( 私 钥 或 私 钥 生 成 信息 )。 第 一 种 
方式 是 将 信息 保存 在 某 个 设备 (例如 笔记 本 电脑 、 手 机 或 平板 电脑 ， 或 U 盘 ) 
中 ， 然 后 将 这 个 设备 好 好 保管 ， 最 好 是 让 这 些 设备 断 开 网 络 ， 并 将 其 锁 起 来 ， 
这 样 ， 如 采 有 人 想 盗 取信 息 ， 那 么 他 首先 震 要 进入 这 些 设备 的 保存 处 。 


大 脑 钱包 
第 二 种 方法 我 们 称 之 为 大 脑 钱 包 (brain walle) 。 这 种 方式 下 ， 你 通过 一 个 
千 舍 就 可 以 文 取 比 特 币 ， 大 脑 钱包 无 须 使 用 硬件 、 纸 张 或 者 其 他 长 期 储存 介质 
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大 脑 钱包 在 物理 安全 性 较 差 的 情况 下 (例如 跨国 出 差 、 旅 行 时 ) 非常 有 用 。 

大 脑 钱包 的 主要 原理 是 用 一 个 可 预测 的 算法 把 一 个 口令 变 成 一 对 公 钥 / 私 
钥 。 例 如 ， 你 可 以 选择 一 个 哈 希 算法 将 口令 转译 成 一 个 私 钥 。 在 给 定 私 钥 的 情 
况 下 ， 可 以 用 同样 的 方法 得 到 私 钥 。 进 一 步 地 ， 结 合 前 文 所 提 到 的 分 层 确 定性 
钱包 技术 ， 你 可 以 根据 口令 生成 一 整套 地 址 和 私 钥 ， 从 而 实现 钱包 的 完整 功能 。 

但 是 ， 如 果 一 个 黑客 猪 到 你 的 口令 的 话 ， 他 还 是 可 以 偷 走 你 大 脑 钱 包 里 的 
所 有 私 钥 。 在 电脑 安全 领域 里 ， 我 们 通 凋 假定 墨客 知 让 你 生成 密 钥 的 步 驼 ， 黑 
客 不 知道 的 只 是 你 的 口令 。 所 以 黑客 可 以 尝试 使 用 不 同 的 口令 ， 生 成 地 址 ， 并 
在 区 块 链 中 查看 这 些 地 址 上 是 否 还 存在 未 被 使 用 的 比特 币 ， 一 旦 发 现 比特 币 ， 
黑客 就 可 以 迅速 把 这 些 比特 币 转 给 日 己 。 黑 客 可 能 永远 都 不 知道 (或 者 根本 不 
关心 ) 这 些 比 特 币 属于 谁 ， 这 类 攻击 也 不 需要 入 侵 任何 设备 ， 猜 口令 不 针对 任 
何人 ， 所 以 也 不 会 留 下 任何 狗 迹 . 

这 种 方法 与 尝试 破解 电子 邮箱 密码 的 方法 不 同 ， 邮 件 服务 右 通 常 对 密码 试 
错 有 一 定 的 次 数 或 频率 限制 (被 称 为 在 线 猜测 )， 但 是 对 于 大 脑 钱 包 而 言 ， 黑 客 
可 以 下 载 一 堆 未 被 使 用 的 比特 币 的 地 址 ， 然 后 用 电脑 程序 去 慢 慢 地 试 错 ， 黑 客 
部 不 需要 知道 大 脑 钱包 的 地 址 ， 这 被 称 为 离线 猜测 或 者 密码 破解 。 相 应 地 ， 设 
置 口令 的 难度 大 大 增加 了， 又 要 容易 记 ， 又 要 不 容易 被 猿 中 。 一 种 安全 的 方法 
是 使 用 日 动 程 序 生 成 一 个 80 位 的 数字 ， 然 后 将 其 转换 成 口令 。 


人 生成 一 个 可 记忆 的 口令 





有 一 种 简便 的 方法 可 以 生成 口令 : 从 最 常用 的 10 000 英语 词汇 中 ， 随 机 
选择 6 个 词 ， 从 而 生成 大 致 80 位 长 度 的 字 节 [6 xlog，(10 000) 大 致 等 于 
80]。 很 多 人 发 现 这 个 方法 比 随 机 取 字 母 容 易 记 忆 ， 因 为 这 种 方法 生成 的 口令 
通 沿 是 下 面 这 样子 的 : 

worn till alloy focusing okay reducing 


earth dutch fake tired dot occasions 
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在 实际 操作 中 ， 我 们 可 以 让 程序 生成 密 钥 的 速度 变 慢 (为 程序 加 入 一 个 延 
迟 )， 这样， 黑客 通过 试 错 法 来 破解 私 钥 就 需要 花费 很 长 的 时 间 ， 这 就 是 所 谓 的 密 
钥 延 展 (key stretching)。 比 如 ， 为 了 使 密 钥 生 成 变 慢 ， 我 们 可 以 让 程序 把 本 来 很 容 
易 计 算 的 哈 希 函数 SHA -256 算 上 2” 次 ,这样 一 来 就 把 黑客 的 工作 量 增加 了 2 售 。 
当然 ， 如 果 太 慢 的 话 ， 用 户 在 使 用 比特 币 的 时 候 ， 也 会 计算 得 很 慢 ， 这 也 很 及 烦 。 

如 果 你 彻底 忘记 了 大 脑 钱 包 的 口令 ， 钱 包 里 的 比特 币 就 永远 取 不 出 来 了 。 


纸钱 包 

第 三 个 选择 是 纸钱 包 ( 见 图 4.3): 把 密 钥 印 在 纸 上 ， 然 后 把 纸 锁 在 保险 箱 
里 。 显 然 ， 这 种 方式 的 安全 程度 取决 于 我 们 所 使 用 的 纸 的 安全 程度 。 纸 钱包 通 
常用 两 种 方法 为 公私 钥匙 编码 : 二 维 码 和 base58 人 码 。 就 像 大 脑 钱包 一 样 ， 只 需 
要 存储 少量 关键 信息 ， 就 可 以 重新 建立 一 个 纸钱 包 。 





图 4.3 市 公 钥 的 比特 币 纸钱 包 
注 : 同时 使 用 了 二 维 码 和 base58 码 加 密 


防 损 硬 件 


第 四 种 方法 是 使 用 防 损 硬件 (tamper-resistant device) ， 用 它 来 保存 密 钥 或 用 
它 来 生成 密 钥 ， 总 之 ， 此 类 设备 本 身 不 会 泄露 密 钥 或 输出 密 钥 ， 而 只 是 在 我 们 
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Se 
在 于 一 旦 设备 丢失 或 者 被 资 ,我 们 马上 就 能 知道 。 而 且 ， 想 要 盗 走 密 钥 ， 必 须 
先 盗 走 这 个 设备 。 这 和 将 密 钥 保 存在 电脑 上 是 不 一 样 的 。 

总 而 言 之 ， 用 户 可 使 用 上 述 一 个 或 是 多 个 方法 来 保存 密 钥 。 对 于 热 储 存 ， 
尤其 是 存 有 大 量 比 特 币 的 热 储 存 而 言 ， 人 们 愿意 投入 大 量 成 本 或 先进 的 安全 机 
制 保护 它们 。 我 们 将 在 下 一 章 讨 论 这 些 更 先进 的 机 制 。 


4.3 密 钥 分 存 和 密 钥 共享 


现在 我 们 了 解 了 各 种 保存 密 钥 的 方法 ， 但 在 这 些 方法 里 ， 风光 
保存 在 一 个 地 方 : 要 么 锁 在 保险 箱 ， 要 么 保存 在 软件 中 或 打印 在 纸 上 。 这 会 造 
oe ep 
失 或 损坏 的 风险 (可 获取 性 )， 但 同时 会 增加 密 钥 被 瓷 的 风险 (安全 性 )。 那 是 
否 存在 一 种 方法 ， 可 以 使 密 钥 的 可 获取 性 和 安全 性 都 得 到 提高 ? 答案 是 肯定 的 。 
密码 学 上 有 一 种 称 为 “ 密 钥 分 存 ” 的 技术 ， 就 可 以 做 到 这 一 

方法 如 下 : 密 钥 被 分 成 N 个 片段 ， 只 要 我 们 获得 其 中 的 个 片段 ， 就 可 以 
把 原 密 钥 重新 还 原 。 但 如 有 果 获 得 的 片段 数量 少 于 K， 就 无 法 知道 关于 密 钥 的 任 
何 信 息 。 

要 实现 上 述 效 果 ， 把 密 钥 和 傈 单 地 切 分 成 耕 干 片段 是 不 行 的 ,这样 的 话 ， 每 
一 个 片段 都 会 透露 密 钥 的 部 分 信息 。 所 以 ， 密 钥 分 存 并 不 是 简单 地 切 分 密 钥 ， 
而 是 将 密 钥 转换 成 右 十 “ 子 密 钥 ”， 

举 个 例子 ， 我 们 设 定 N =2, K =2， 意 味 着 我 们 把 想 要 加 密 的 密 钥 〈 原 密 
角 ) 转换 成 两 个 子 密 钥 ， 只 有 同时 获得 这 两 个 子 密 钥 才 能 拼 出 原 密 钥 。 我 们 把 
原 密 钥 称 为 S，S 是 一 个 很 大 的 数字 (比如 128 位 )。 然 后 ， 我 们 可 以 随机 产生 


《 op 时 记 》 里 的 藏 宝 图 储存 方法 在 现实 中 是 不 可 取 的 ， 因 为 不 需要 搜集 齐 八 族 手 中 的 碎片 ， 只 需 
伙 有 几许 的 就 可 以 猜测 整个 疲 定 图。 一 一 详 者 注 


ww ai bbt.com DODODDDDOD 





心 : 人 = 


4 章 
如 何 储存 和 使 用 比特 币 


另 一 个 128 位 的 数字 R， 让 R 作为 其 中 的 一 个 子 密 钥 ,那么 另外 一 个 子 密 钥 就 
是 S@R ( 甸 代 表 逻 辑 算 符 互 斥 ，exclusive OR， 或 缩写 成 XOR， 也 叫 异 或 )， 我 
们 把 S@R 称 为 “ 密 文 ” 。 然 后 ,我们 把 子 密 钥 R 和 密 文 SR 保存 在 两 个 不 同 
的 地 方 。 单 独 根据 子 密 钥 R 或 密 文 都 无 法 知晓 原来 密 钥 的 任何 信息 ， 但 如 有 果 我 
们 同时 得 到 R 和 S 人 多 @R， 我 们 可 以 通过 异 或 逻辑 运算 得 到 原来 的 密 钥 ,9 

N 和 相等 时 ， 我 们 总 是 可 以 这 样 做 : 对 于 之 前 的 K 一 1 个 子 密 钥 ,我 们 可 
以 生成 N -1 不同 的 随机 数 ， 最 后 一 个 子 密 钥 就 是 原 密 钥 与 所 有 其 他 N -1 个子 
密 钥 的 异 或 。 但 如 果 N 大 于 下 的话， 这 个 技巧 就 行 不 通 了 。 我 们 需要 俯 助 其 他 
代数 方法 。 

图 4.4 中 ,我 们 是 如 何 生 成 子 密 钥 的 呢 ? 首先 ， 我 们 把 $ 标记 在 立轴 上 
(0，S) ， 然 后 经 过 该 点 画 一 条 直线 ， 和 斜率 随机 ， 接 下 来 ,我 们 就 可 以 在 这 条 线 
上 挑 一 些 点 ， 要 多 少 有 多 少 。 这 样 ， 我 们 就 得 到 N 个 子 密 钥 ,并且 K =2。 






【3 人 +3R ) 





(2,S+2R ) 


图 4.4 密 钥 分 存 的 几何 示例 (N =2) 
注 : $ 代表 原 密 钥 ， 被 编码 成 一 个 大 的 整数 ， 图 中 和 斜 线 的 斜率 随机 。 斜 线 上 的 点 〈 主 要 是 它们 的 


Y 坐 标 S+R，S+2R，…) 代表 子 密 钥 。 连 接任 何 两 个 点 ， 都 可 以 得 到 S [两 点 连 线 ， 延 
长 ,与 立轴 的 交点 就 是 $S〈 黑 点 )] 。 在 是 只 有 一 个 点 ， 又 无 法 确定 斜率 〈 斜 率 随 机 ) ， 就 无 


法 得 到 S， 


中 在 密码 学 中 ， 上 文 的 “ 原 密 钥 ” 通 常 称 为 “明文 “R” 称 为 “ 密 钥 ”"，S@R 称 为 “ 密 
一 一 公用 福 
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为 什么 我 们 得 到 两 个 点 就 可 以 还 原 原 密 钥 呢 ? 首先 ， 连 接 两 个 点 可 以 得 到 


任何 信息 ， 由 于 直线 斜率 是 随机 的 ， 所 以 ,通过 该 点 的 任何 直线 部 有 可 能 是 我 
们 生成 子 密 钥 所 采用 的 那 条 直线 ,但 所 有 直线 和 YY 轴 的 交点 都 不 同 。 

上 述 方法 中 ， 有 一 点 很 精妙 : 要 让 这 个 方法 在 数学 上 行 得 通 ， 我们 需要 找 
一 个 足够 大 的 素数 P 取 模 。P 不 需要 和 原 密 钥 有 任何 关系 ， 只 需要 足够 大 就 可 
以 。S 的 值 在 0 和 P=-1 之 间 ( 含 0 和 P-1)。 上 文中 ,我 们 说 通过 S 画 直 线 并 
在 直线 上 挑选 一 些 点 ， 实 际 操作 时 ， 我 们 其 实 是 生成 一 个 介 于 0 到 P 了 -1 的 随机 
数 R， 并 生成 下 列 操 : 


x=1], y= (S++R) mod P 
= y= B22R) mod 上 
星人 


原 密 钥 对 应 的 坐标 为 x=0, y= (S+0xR) mod PP， 其实 就 x=0, y=S。 

上 述 方法 在 K=2,N 为 任意 数字 的 情况 下 都 有 效 ， 例如， 如 果 N =4， 就 是 
生成 4 个 子 密 钥 ， 并 保存 在 4 个 不 同 的 设备 里 。 万 一 有 人 偷 了 其 中 的 一 个 ， 他 
对 密 钥 仍 一 无 所 知 。 即 使 丢 了 两 个 子 密 钥 ,你 也 仍然 可 以 通过 为 外 两 个 子 密 角 
来 得 到 原 密 钥 。 

上 述 方法 可 以 进一步 扩展 : 我 们 可 以 用 任何 的 K 和 N (只 要 保证 K<N) 来 
实现 密 钥 分 存 。 在 图 4.4 中 我 们 用 一 条 直线 进行 密 钥 分 存 ， 在 代数 中 ， 直 线 就 
是 自由 度 为 1 的 多 项 式 。 如 果 玉 =3， 我 们 就 要 用 抛物 线 来 实现 ,抛物 线 是 日 由 
度 为 2 的 多 项 式 。 我 们 可 以 用 表 4. 1 中 所 示 公 式 来 表达 这 一 化 进 系 列 。 


表 4.1 密 钥 分 存 的 数学 原理 


二 本 还 原 原 密 钥 所 需 
公式 自由 度 形状 随机 参数 的 子 密 钥 数量 
(S+RX) mod 了 ] 直线 R 2 
(S+RIX+ R,X’ ) mod P 2 二 次 曲线 R, ，R, 3 
(S+RIX+R,X* +RiX’) mod P 3 三 次 曲线 。”R,，R,，R; 本 
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注意 ， 如 果 使 用 自由 度 为 k-1 的 曲线 上 的 若干 点 来 进行 密 钥 分 在 ， 那 么 ， 
为 了 还 原 原 密 钥 ， 至 少 需要 得 到 K 个 点 的 数据 。 

数学 上 ， 拉 格 朗 日 公式 表明 ， 如 果 要 回归 一 条 自由 度 为 k -1 的 曲线 ， 需 要 
获得 至 少 K 个 点 。 最 简单 的 例子 就 是 ， 用 尺子 连接 两 个 点 ， 就 可 以 得 到 一 条 
直线 。 因 此 ， 如 果 我 们 将 原 密 钥 转 换 成 N 个 子 密 钥 ， 除 非 黑 客 获 得 了 K-=-1 个 
子 密 钥 ,否则 原 密 钥 就 是 安全 的 ， 换 个 说 法 ， 我们 最 多 可 以 承受 N -下 个子 密 

当然 ， 密 钥 分 存 并 不 是 比特 币 的 专用 技术 。 你 可 以 将 你 的 密码 进行 密 钥 分 
存 ， 然 后 把 子 密 钥 告诉 你 的 朋友 ， 或 把 它们 放 在 不 同 的 地 方 。 但 是 ， 实 际 上 并 
不 会 有 人 真 的 这 么 做 。 一 方面 这 么 做 不 太 方 便 ， 男 一 方面 ， 目 前 市 场 上 也 有 其 
他 的 安全 机 制 ， 例 如 使 用 短信 进行 双重 验证 。 但 对 于 比特 币 而 言 ， 如 果 你 选择 
本 地 保存 密 钥 ， 那 么 双重 验证 等 安全 机 制 就 不 适用 了 ， 我们 无 法 通过 短信 验证 
码 的 方式 来 控制 比特 币 账 户 。 当 然 ， 在 线 钱包 则 不 同 ， 我 们 会 在 下 一 节 讨 论 。 
不 过 ， 在 线 钱 包 和 本 地 储存 的 区 别 不 大 ， 类 似 的 问题 总 是 存在 ， 只 不 过 换 了 一 
种 方式 。 毕 竟 ， 在 线 钱包 的 服务 商 在 保存 密 钥 的 时 候 也 不 能 只 使 用 一 种 安全 


门限 密码 (threshold cryptography ) 


密 钥 分 存 还 是 有 一 个 问题 : 密 钥 分 存 之 后 ， 如 果 我 们 后 面 要 用 原 密 钥 来 签 
名 ， 那 就 需要 取得 子 密 钥 ， 还 原 成 原 密 钥 ， 然 后 才能 签名 。 这 个 过 程 有 可 能 被 
黑客 乘虚 而 人 ， 盗 取 密 钥 。 

密码 学 可 以 解决 这 个 问题 。 如 果子 密 钥 储存 在 不 同 的 设备 中 ， 可 以 以 去 中 
心 化 的 方式 还 原 原 密 钥 ， 而 不 是 在 某 台 设备 上 完成 。 这 种 技术 叫 “ 门 限 签名 ” 
(threshold signature ) 技术 。 骨 型 的 例子 就 是 使 用 双重 安全 机 制 的 电子 钱包 
(CN=2 且 K=2)， 如 末 两 个 子 密 钥 分 别 保存 在 个 人 电脑 和 手机 上 ， 你 可 以 在 电 
脑 上 发 起 付 蒜 ， 这 时 ， 电 脑 会 生成 一 个 签名 片段 ， 并 发 送 到 你 的 手机 上 ， 然 后 ， 
手机 会 提示 你 付款 信息 (包括 收 款 人 、 金 额 等 )， 然 后 等 待 你 确认 。 如 果 你 确认 
了 付款 信息 ， 这 时 ,手机 会 利用 它 的 子 密 钥 完 成 整个 签名 ， 然 后 广播 到 区 块 链 
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上 。 万 一 黑客 控制 了 你 的 电脑 ， 试 图 把 比特 币 转 到 他 的 账户 ， 你 根据 手机 上 的 
付款 信息 就 知道 有 问题 了 ， 从 而 不 会 确认 这 笔 交 易 。 门 限 密码 涉及 的 数学 细 市 
比较 复杂 ， 此 处 我 们 不 展开 讨论 





门限 签名 是 密码 学 中 的 一 项 技术 ， 将 一 个 密 钥 切 分 成 不 同上 请 段 ， 分 别 储 
存 ， 在 交易 签名 时 无 须 还 原 原 密 钥 。 而 多 重 签名 是 比特 币 脚本 的 特性 ， 把 一 
个 比特 币 账户 的 控制 权 交 给 多 个 密 钥 ， 这些 密 钥 共 同 保障 账户 安全 。 门 限 签 
名 和 多 重 签名 都 能 克服 密 钥 单 点 保存 的 缺陷 。 


多 重 签 名 

还 有 另外 一 种 方法 可 以 克服 密 钥 单 点 保存 的 缺陷 ， 即 多 重 签名 (multisigna- 
tures) ， 这 个 名 词 在 第 3 章 曾 出 现 过 。 通 过 比特 币 脚 本 ， 可 以 直接 把 一 个 比特 币 
账户 的 控制 权 交 给 多 个 密 钥 ， 而 不 是 将 密 钥 分 存 。 这 些 密 钥 可 以 保存 在 不 同 的 
地 点 ， 并 分 别 生 成 签名 。 当 然 ， 最 终 完 成 的 交易 的 信息 还 是 会 保存 在 某 台 设备 
上 ， 但 即使 黑客 控制 了 这 人 台 设 备 ， 他 所 能 做 的 也 只 不 过 阻止 这 个 交易 被 广播 到 
整个 网 络 上 去 。 没 有 其 他 设备 参与 ， 他 无 法 生成 出 一 个 正当 有 效 的 多 重 签名 。 

举例 来 说 ,假设 本 书 的 作者 安德鲁 (Andrew) 、 阿 尔 文 德 (Arind) 、 爱 德 
华 (Ed)、 约 什 (Joseph) 和 史 带 文 〈Steven) 是 一 家 公司 的 创始 人 一 一 也 许 我 
们 就 是 依靠 出 售 这 本 书 的 版 权 来 创建 公司 一 一 那 这 家 公司 就 有 许多 的 比特 币 了 。 
我 们 可 能 会 用 多 重 签 名 来 保护 这 些 比 特 币 。 我 们 5 个 人 ,每 人 都 有 一 对 密 钥 ， 
我 们 可 以 用 其 中 的 3 个 签名 来 保护 冷 储存 一 一 一 笔 交 易 需 要 5 个 人 中 至 少 3 个 人 
的 签名 才能 完成 。 

这 样 ， 只 要 我 们 5 个 人 在 不 同 地 方 且 使 用 不 同 的 安全 措施 保存 各 自 的 密 钥 ， 
那么 比特 币 就 会 相当 安全 。 黑 客 必 须 盗 取 我 们 当中 3 个 人 的 密 钥 ， 才 能 盗 取 比 
特 币 。 即 便 我 们 其 中 一 个 或 两 个 背弃 了 我 们 ,他 ( 们 ) 也 无 法 卷 款 而 逃 ， 因 为 
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他 们 还 需要 男 一 个 签名 ,了 同时 ， 如 果 我 们 其 中 一 个 遗失 了 密 钥 ， 其 他 人 还 是 可 
以 取出 比特 币 ， 并 转 到 新 的 账户 ， 重 新 设置 密码 。 总 而 言 之 ， 多 重 签名 可 以 比 
较 妥 善 地 管理 在 冷 储存 端的 大 额 比特 币 ， 任 何 重 大 事项 者 需要 多 人 的 参与 才能 
实现 。 

上 文中 ,我 们 说 到 ， 人 们 使 用 门限 签名 技术 的 原因 是 为 了 实现 双重 安全 机 
制 或 多 重 安全 机 制 ， 使 用 多 重 签 名 技术 的 原因 是 为 了 实现 多 人 对 共同 财产 实现 
共同 控制 。 实 际 上 ， 这 两 种 技术 都 可 以 实现 上 述 两 种 目的 。 


4.4 在 线 钱 包 和 交易 所 


我 们 已 经 讨论 了 目 己 储存 和 管理 比特 币 的 不 同方 法 。 下 面 ， 我 们 将 讨论 如 
何 通过 他 人 提供 的 服务 实现 上 述 目的 。 最 直接 的 方法 是 使 用 在 线 钱 包 。 


在 线 钱 包 

在 线 钱包 和 随身 带 的 钱包 一 样 ， 只 是 在 线 钱 包 的 信息 储存 在 云端 ， 你 可 以 
通过 网 页 或 手机 应 用 来 读 取 。2015 年 年 初 ， 比 较 流行 的 在 线 钱包 服务 是 比特 币 
基地 公司 ( Coinbase) 和 区 块 链 信息 公司 (blockchain. info ) 。 

从 安全 性 的 角度 考虑 ， 最 关键 之 处 在 于 网 站 不 仅 在 你 的 浏览 器 或 手机 应 用 
软件 (APP) 上 运行 代码 ， 而 且 ， 网 站 还 储存 着 你 的 密 钥 。 至 少 ， 网 站 是 能 够 
接触 到 你 的 密 钥 的 。 通 常情 况 下 ， 网 站 使 用 密码 来 保护 密 钥 ， 而 密码 只 有 你 一 
个 人 知道 。 当 然 ， 你 需要 信任 这 个 网 站 ,相信 它 不 会 泄露 你 的 密 钥 或 是 密码 。 

在 线 钱包 的 一 大 优点 是 方便 。 你 不 需要 在 电脑 上 安装 任何 软件 就 可 以 使 用 
在 线 钱包 ; 在 手机 上 ， 你 只 需 安 装 一 个 手机 软件 就 可 以 使 用 钱包 ， 而 且 ， 不 需 
要 下 载 区 块 链 。 在 线 钱包 可 以 在 各 种 设备 上 使 用 : 无 论 是 个 人 电脑 还 是 手机 ， 


中 用 这 个 方法 倒是 可 以 防止 银行 工作 人 员 卷 款 而 逃 ， 可 见 科 技 的 进步 确实 可 以 改善 传统 行业 的 一 些 
注 弱 环节 。 一 一 译 者 注 
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因为 真正 的 钱包 信息 储存 在 云 病 。 

但 是 ， 在 线 钱 包 也 有 安全 隐患 。 如 果 网 站 或 者 是 网 站 工作 人 员 有 恶意 ， 那 
么 在 线 钱包 中 的 比特 币 就 有 危险。 在 线 钱 包 的 服务 化 运行 者 所 有 的 代码 ， 很 容 
易 窃 取 你 的 比特 币 ， 在 线 钱包 服务 提供 商 如 有 恶意 ， 情 况 就 不 妙 了 。 

通常 情况 下 ， 网 站 或 者 服务 提供 商 由 训练 有 素 的 网 络 安全 专家 和 运行。 他们 
比 我 们 更 专业 ， 所 以 我 们 会 认为 他 们 帮 我 们 保管 比特 币 会 更 安全 。 但 归根 结 诬 ， 
前 提 是 专家 们 不 会 故意 摘 破 坏 。 


比特 币 交易 所 

要 想 理解 比特 币 交 易 所 ， 我 们 先 要 讨论 一 下 传统 的 银行 是 如 何 运 作 的 。 你 
给 银行 一 笔 钱 一 做 一 笔 存款 ， 银 行 日 后 会 按照 你 的 要 求 把 钱 还 给 你 。 当 然 ， 
银行 并 不 会 把 你 的 钱 一 直 锁 在 保险 柜 里 ， 银 行 只 是 答应 ， 当 你 提 款 的 时 候 把 钱 
给 你 ， 在 这 期 间 ， 银 行 通常 会 把 钱 用 于 投资 。 许 多 银行 会 保留 一 部 分 钱 作为 储 
备 金 ， 保 证 人 们 来 提 款 的 时 候 ， 有 足够 的 现金 。 很 多 银行 通常 按 存款 的 固定 比 
例 来 留存 储备 金 。 

现在 来 谈 比特 币 交易 所 。 至 少 在 用 户 使 用 的 角度 看 ， 比 特 币 交易 所 和 银行 
很 像 。 交 易 所 可 以 办 理 比特 币 存款 ， 日 后 需要 用 钱 的 时 候 ， 可 以 到 交易 所 提 款 。 
你 还 可 以 把 法 定货 币 (法 币 ) 一 一 例如 美元 、 欧 元 等 存 到 比特 币 交易 所 ， 交 易 
所 承诺 日 后 会 按照 你 的 要 求 把 钱 一 一 比特 币 或 法 币 ， 或 两 者 都 有 一“ 还 给 你 。 
也 可 以 通过 交易 所 办 理 类 银行 业务 ， 例 如 ， 用 比特 币 付款 或 收 款 。 还 可 以 通过 
交易 所 把 比特 币 兑换 成 法 币 ， 或 把 法 币 兑换 成 比特 币 ， 交 易 所 在 该 业务 中 通常 
起 撮合 作用 ， 它 们 同时 寻找 愿意 兑换 法 定货 币 和 愿意 兑换 比特 币 的 人 ， 并 安排 
他 们 作为 交易 对 手 ， 如 果 交 易 对 手 对 于 汇率 达成 一 致意 见 ， 交 易 所 就 促成 这 笔 
交易 。 

举 个 例子 ， 假 设 你 在 某 交易 所 的 账号 里 有 5 000 美元 和 3 个 比特 币 。 你 想 用 
580 美元 /比特 币 的 价格 买 两 个 比特 币 ， 这 时 交易 所 帮 你 找到 交易 对 手 并 促成 交 
易 。 现 在 ， 你 的 账号 里 有 5 个 比特 币 和 3 840 美元 。 

值得 注意 的 是 ， 当 你 在 交易 所 完成 上 述 交 易 的 时 候 ， 区 块 链 上 并 不 会 记录 
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任何 交易 。 交 易 所 不 需要 在 区 块 链 里 把 比特 币 从 一 个 地 址 转 到 为 一 个 地 址 。 交 
易 所 只 是 修改 了 和 你 的 合约 ， 交 易 前 ， 它 说 “我 们 日 后 会 还 给 你 5 000 美元 和 3 
个 比特 币 。” 交 易 完 成 后 ， 它 说 “我 们 日 后 会 还 给 你 3 840 美元 和 5 个 比特 币 。 
所 以 ， 交 易 前 后 ， 比 特 币 并 没有 真正 在 区 块 链 中 移动 ， 只 是 你 和 银行 的 合约 变 
化 了 而 已 。 对 于 你 的 交易 对 手 而 言 ， 也 是 如 此 。 

交易 所 有 优点 也 有 和 缺点。 优点 之 一 是 交易 把 比特 币 经 济 和 法 币 经 济 相 结 合 
起 来 ， 这 两 种 货币 实现 了 自由 转换 。 如 果 我 账户 里 有 比特 币 和 美元 ,我 可 以 随 
心 所 和 欲 将 比特 币 换 成 美元 ， 或 把 美元 换 成 比特 币 ， 这 是 相当 方便 的 。 

缺点 就 是 风险 。 交 易 所 面临 和 银行 一 样 的 风险 ， 主 要 包括 以 下 三 大 类 风险 : 


三 类 风险 

第 一 类 风险 是 挤 部。 挤兑 就 是 大 家 同时 都 去 银行 提 球 。 由 于 银行 一 般 只 保 
存 部 分 存款 ， 所 以 可 能 无 法 应 付 折 有 的 提 球 要 求 。 当 银行 无 法 兑现 的 衣 言 四 起 
之 时 ， 大 家 开始 您 慨 ， 然 后 更 多 人 去 银行 取 钱 ， 造 成 角 塌 效应 。 

第 二 类 风险 是 银行 本 喘 可 能 就 是 一 个 庞 氏 骗局 。 庞 氏 骗 局 的 通常 做 法 就 是 
不 断 值 新 还 旧 ， 从 储户 吸收 存款 ， 答 应 日 后 提供 一 定 的 收益 ,但 实际 上 这 笔 钱 
并 没有 用 于 投资 ， 而 是 用 于 支付 先前 储户 的 收益 ， 这 类 骗局 最 终 必然 会 骨 演 ， 
使 人 们 损失 惨重 。2008 年 的 麦 道 夫 骗 局 就 是 庞 氏 骗局 的 最 新 案例 。 

第 三 类 风险 就 是 黑客 人 侵 。 有 人 一 一 有 的 甚至 就 是 交易 所 的 雇员 一 一 试图 
入 侵 交 易 所 的 安全 系统 。 由 于 交易 所 储存 大 量 密 钥 ， 而 这 些 密 钥 可 以 支取 比特 
币 ， 所 以 交易 所 需要 非 稼 小 心地 监控 软件 的 安全 性 及 其 操作 流程 一 一 例如 ， 如 
何 管理 冷 热 储存 等 。 如 果 茶 个 环节 出 了 差错 ， 我 们 存在 交易 所 的 比特 币 就 会 被 
盗 取 。 

上 述 风 险 部 实际 发 生 过 。 有 的 交易 所 因为 挤 竞 而 倒闭 ， 有 的 交易 所 因为 管 
理 员 的 监 守 目 盗 而 倒闭 ， 也 有 的 交易 所 因为 黑客 人 侵 而 倒闭 。 实 际 上 ， 统 计数 
据 并 不 令 人 乐观 。2013 年 的 一 项 研究 显示 ,40 家 比特 币 中 有 18 家 由 于 存款 到 
期 无 法 兑付 或 其 他 问题 而 倒闭 。 

倒闭 的 交易 所 中 ， 最 有 名 的 就 是 门头沟 (ME Gox) 。 门 头 沟 曾 经 是 世界 上 最 
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大 的 比特 币 交 易 所 ,最 后 因 存 款 到 期 无 法 兑付 而 宣告 倒闭 ， 许 多 投资 者 血本 无 
归 。 门 头 沟 现在 还 在 日 本 与 美国 法 院 走 破产 清算 程序 ， 人 们 到 现在 都 没有 搞 清 
楚 他 们 的 钱 到 底 去 了 哪里 。 我 们 只 知道 一 点 : 门头沟 曾经 拥有 很 多 比特 币 ， 而 
现在 已 经 一 无 所 有 了 。 这 对 于 所 有 交易 所 都 是 一 个 警示 。 

反观 传统 银行 业 ， 并 没有 高 达 45% 的 破产 率 。 政 府 的 监管 在 其 中 发 挥 了 重 
要 的 作用 。 政 府 对 银行 的 监管 主要 体现 在 以 下 方面 : 


银行 监管 

政府 首先 要 求 银 行 有 一 个 最 低 准 备 金 要 求 。 在 美国 ， 银 行 随时 要 保留 总 储 
鞭 量 3% ~ 10% 的 现金 来 应 付 突 发 的 提 于 请求。 政府 通常 还 会 对 银行 的 投资 类 别 
以 及 资金 管理 方法 进行 监管 ， 政 府 要 求 银 行 的 资产 投 回 低 风 险 资 产 ， 因 为 这 些 
钱 大 多 是 储户 的 血汗 钱 ， 而 不 是 银行 自 有 的 资金 。 

政府 不 仅仅 对 银行 进行 监管 ， 还 会 在 必要 时 为 银行 或 储蓄 者 提供 保护 。 首 
先 ， 政 府 会 提供 储蓄 保险 。 如 果 一 个 杀 纪 守法 的 银行 破产 ， 政 府 会 偿还 储户 一 
部 分 存款 。 其 次 ,政府 有 时 候 也 会 充当 “最 后 借款 人 ”和 角色。 如 果 银 行 短期 经 
营 困难 ， 但 仍 有 一 定 的 偿 债 能 力 ， 政 府 给 银行 提供 贷款 ， 直 到 银行 有 足够 的 资 
金 周转 ， 从 而 让 银行 渡 过 难关 。 

传统 银行 的 监管 大 抵 如 此 ， 但 比特 币 交 易 所 的 监管 则 并 非 这 样 。 比 特 币 交 
易 所 需 不 需要 被 监管 ,我们 会 在 第 7 草 讨论 。 





准备 金 证 明 

比特 币 交 易 所 或 者 其 他 提供 比特 币 管理 服务 的 机 构 ， 可 以 使 用 一 种 称 为 
“准备 金 证 明 ” (proof of reserve) 的 密码 学 技术 来 向 储户 证 明 他 们 留存 了 一 部 分 
储备 金 一 一 例如 ， 按 照 储蓄 额 的 25% 留存 一 一 从 而 消除 投资 人 的 担心 。 

准备 金 证 明 包 括 两 方面 的 内 容 : 首先 是 证 明 你 有 多 少 准 备 金 。 这 比较 容易 ， 
交易 所 只 需 发 起 一 笔 癌 目 己 转账 的 交易 ， 转 账 的 金额 等 于 其 公布 的 准备 金 金额 
印 可 。 如 有 果 交 易 所 声称 留存 了 100 000 个 比特 币 作 为 准备 金 ， 那 么 它们 会 发 起 一 
笔 100 000 个 比特 币 的 转账 交易 ， 收 款 人 就 是 交易 所 本 身 ， 然 后 向 客户 说 明 这 笔 
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交易 的 有 效 性 。 之 后 ， 它 们 会 用 同一 个 私 钥 去 为 一 条 查询 指令 签名 ， 这 个 查询 
指令 是 公正 的 第 三 方 随意 发 出 的 字符 串 。 这 样 就 可 以 证 明 出 具 准 备 金 证 明 的 人 
至 少 知晓 该 私 钥 (即使 他 不 是 私 钥 的 拥有 者 ) 。 

我 们 应 注意 到 两 点 : 首先 ， 严 格 地 说 ， 准 备 金 证 明 并 无 法 证 明 交 易 所 真正 
拥有 这 些 准备 金 ， 只 能 说 明 真 正 拥 有 这 笔 比 特 币 的 人 愿意 参与 准备 金 证 明 的 过 
程 。 换 句 话说， 准备 金 证 明 只 是 证 明了 某 人 【交易 所 ) 可 以 控制 这 一 笔 钱 ， 或 
者 某 人 (交易 所 ) 所 熟悉 的 人 可 以 控制 这 一 笔 钱 。 其 次 ， 准 备 金 是 可 能 被 瞒 报 
的 ， 一 个 交易 所 可 能 留存 了 150 000 个 比特 币 的 准备 金 ， 但 只 向 人 们 证 明 它 留存 
了 100 000 个 比特 币 的 准备 金 ， 因 此 ， 准 备 金 证 明 不 能 证 明 准备 金 的 上 限 金 祷 ， 
而 只 能 证 明 其 下 限 金额 ， 即 证 明 某 人 (交易 所 ) “至 少 ” 有 多 少 准备 金 。 


负债 证 明 ( proof of liabilities ) 

目前 ， 交 易 所 只 证 明了 留存 的 准备 金 规模 ， 为 了 证 明 准 备 金 留 存 比例 ， 还 
需要 证 明 其 吸收 的 存款 规模 。 知 道 了 准备 金 规 模 和 存 球 规模 ， 那 么 将 这 两 个 数 
相 除 就 得 到 了 准备 金 留 存 比 例 。 我 们 接 下 来 会 展示 一 种 方法 ， 可 以 确保 交易 所 
不 会 瞒 报 存款 规模 (但 可 以 多 报 )， 这 样 ， 由 于 交易 所 向 人 们 证 明了 准备 金 “至 
少 ” 是 多 少 ， 存 款 规 模 “ 至 多 ”是 多 少 ， 这 样 ， 在 计算 准备 金 比 例 时 ， 分子 偏 
小 而 分 母 偏 大 ， 因 此 ， 我 们 可 以 得 到 准备 金 比例 的 保守 估计 。 

对 于 比特 币 交 易 所 而 言 ， 如 果 不 考 虑 储户 隐私 的 话 ， 可 以 将 所 有 的 存款 记 
录 公 布 ， 即 公布 所 有 储户 的 姓名 和 人 金额， 这 样 ， 人 们 就 可 以 计算 交易 所 的 储蓄 
规模 ( 即 交 易 所 的 负债 规模 )， 而 且 ， 如 果 交 易 所 螨 报 数据 ， 那 么 某 些 储户 将 发 
现 目 己 并 不 在 公布 名 单 内 或 者 发 现 上 自己 的 储蓄 额 少 了 ， 这 时 ， 储 户 就 会 将 此 曝 
光 ， 因 此 ， 交 多 所 不 可 能 瞒 报 存 于 规模。 但是， 交易 所 可 以 在 存款 记录 中 加 入 
一 些 虚 构 的 客户 ， 这 样 ， 由 于 公布 的 数据 真 假 摊 和， 在 一 定 程度 上 可 以 保护 储 
户 的 隐私 ， 只 是 这 么 做 会 使 交易 所 的 总 负债 被 高 估 。 这 种 情况 下 ， 只 要 没有 收 
到 储户 投诉 其 储蓄 被 少 报 或 漏 报 ， 人 们 就 可 以 相信 ， 交 易 所 公布 的 负债 规模 肯 
定 不 低 于 实际 的 负债 规模 。 

当然 ， 以 上 做 法 是 以 牺牲 储户 隐私 为 代价 的 。 实 际 上 ， 我们 会 用 梅 克 尔 树 
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来 证 明 存款 规模 。 我 们 在 第 1 章 就 说 过 ， 梅 克 尔 树 就 是 一 棵 哈 布 值 构成 的 二 又 
树 ， 每 个 指针 不 仅 告诉 我 们 去 哪里 找到 一 个 信息 ， 而 且 还 告诉 我 们 这 个 信息 的 
哈 希 值 。 交 易 所 想 要 证 明 其 负债 ， 可 以 先 构 建 一 棵 二 叉 树 ， 二 叉 树 的 每 个 时节 
点 都 代表 一 个 储户 ， 如 图 4.5 所 示 (当然 ， 这 里 也 同样 需要 储户 来 核实 目 己 是 
否 在 这 棵 二 义 树 上 )， 之 后 ,我 们 还 需要 让 储户 可 以 核实 交易 所 申明 的 负债 规 
模 ， 要 实现 这 点 ， 我 们 需要 为 每 个 节点 添加 一 个 字段 (下 文人 简称 为 存款 金额 字 
段 )， 这 个 字段 显示 其 最 近 的 两 个 子 节 点 的 存款 金额 之 和 。 


储户 1 | | 储户 2 储户 3 储户 4 | 储 | 储户 6 储户 7 储户 8 
的 账户 | | 的 账户 的 账户 的 账户 | | 的 账户 | | 的 账户 的 账户 的 账户 


图 4.5 负债 证 明 
注 : 交易 所 构建 这 样 一 棵 梅 殉 尔 树 ;每 个 储户 对 应 一 个 叶 节 点 ， 每 个 叶 节 点 的 存款 金额 字段 保 
存储 户 存款 金额 。 每 个 节点 的 存款 金额 字段 等 于 与 其 最 相近 的 两 个 子 节 点 的 存款 金额 之 和 ， 
这 样 ， 根 节点 的 存款 金额 字段 就 代表 着 存款 总 规模 。 每 个 储户 都 可 以 要 求 交易 所 证 明 该 储 
户 在 梅 克 尔 树 上 ， 并 且 可 以 核实 根 节 点 所 显示 的 总 存款 规模 。 






交易 所 构建 完 梅 克 尔 树 之 后 ， 把 根 节 点 的 哈 希 指针 和 根 节 点 的 存款 金额 字 
段 进 行 加 密 签 名 ， 然 后 在 网 络 上 广播 。 根 节点 的 存款 金额 字段 自然 就 是 存款 总 
规模 一 一 也 就 是 我 们 最 关心 的 数据 。 此 外 ， 交 易 所 还 需要 声明 所 有 储户 都 可 以 
对 应 到 叶 节 点 上 ， 而 且 所 有 储户 的 存款 数据 都 是 正确 的 ， 并 且 每 个 父 节 点 在 加 
总 子 广 友 的 存 球 数据 时 也 没有 出 现 差错 ， 因 此 ， 根 节点 的 存款 金额 字段 正确 无 
误 地 说 明了 存款 总 规模 。 
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现在 ， 每 个 客户 都 可 以 向 交易 所 索取 存款 证 明 ， 交 易 所 也 必须 向 储户 出 具 
相应 证 明 。 这 种 证 明 实 际 上 就 是 一 棵 包含 该 客户 所 对 应 的 节点 的 子 树 ， 子 树 应 
包括 根 节点 和 叶 节 点 ， 如 图 4.6 所 示 ， 之 后 ， 客 户 可 以 核实 以 下 几 点 : 

1. 子 树 根 节点 的 哈 希 指针 和 存款 金额 字段 ， 与 交易 所 广播 的 值 一 致 。 

2. 从 子 树 的 根 节点 遍历 到 叶 厄 点 ， 每 个 节点 对 应 的 哈 希 值 确实 是 其 所 指 问 
的 子 节 点 的 哈 布什 。 

3. 每 个 叶 节 点 对 应 的 客户 账号 信息 (客户 名 、 账 号 和 存款 金额 ) 都 是 正确 
无 误 的 。 

4. 每 个 节点 的 存款 金额 字段 正好 等 于 与 其 最 相近 的 子 节 点 的 存款 金额 之 和 。 





图 4.6 以 梅 殉 尔 树 ( 子 树 ) 的 形式 提供 存款 证 明 
注 : 子 树 包含 叶 节 点 、 根 节点 和 之 间 的 所 有 子 节点 及 其 兄弟 节点 。 


上 述 做 法 的 优点 在 于 ， 二 又 树 的 每 个 分 支 都 会 被 遍历 一 遍 ， 而 且 ， 总 有 人 会 
核实 每 个 市 点 的 存款 金额 字段 恰恰 等 于 与 其 相 邻 的 两 个 子 节点 的 存款 金额 之 和 。 
关键 的 是， 不 同 的 客户 获得 的 于 树 中 ， 如 果 有 相同 的 节点 ， 那么 这 些 节点 的 哈 希 
值 以 及 存 球 金 额 字段 也 必定 是 相同 的 ， 否 则 就 会 产生 哈 希 碰撞 (hash collision ) 。 
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我 们 总 结 一 下 。 首 先 ， 交 易 所 为 了 证 明 其 留存 了 X 比特 币 的 准备 金 ， 发 起 
了 一 笔 向 自己 转账 的 交易 ， 转 账 金额 为 X 个 比特 币 ， 并 且 在 网 络 上 广播 这 笔 交 
易 。 之 后 ,交易 所 证 明 其 吸收 的 存款 规模 不 少 于 Y 比特 币 。 这 样 ， 我 们 就 知道 
这 个 交易 所 的 准备 金 比例 至 少 是 XXY。 这 意味 着 ， 如 果 一 个 比特 币 交易 所 想 向 
人 们 证 明 自己 的 准备 金 比 例 是 25% ， 可 以 通过 上 述 方法 让 所 有 人 都 可 能 对 此 进 
行 独立 审计 ， 而 不 是 依靠 中 央 权威 机 构 来 验证 。 

你 也 许 发 现 了 上 述 两 种 方法 (存款 证 明和 负债 证 明 ) 泄露 了 很 多 私密 信息 ， 
其 中 包括 很 多 敏感 信息 ， 例 如 交易 所 使 用 的 账户 、 存 款 准 备 金 总 规模 以 及 交易 
所 总 负债 规模 ， 其 至 是 储户 的 个 人 账户 余额 等 。 实 际 上 ， 交 易 所 并 不 愿意 公布 
这 些 信息 ， 因 此 在 实际 应 用 中 ， 存 款 准 备 金 证 明 用 得 很 少 。 

最 近 推 出 的 一 个 被 称 为 “准备 金 ” (provision) 的 协议 ， 也 可 以 提供 偿付 能 
力 证 明 ， 而 且 不 需要 披露 总 负债 和 总 的 存款 准备 金 规模 ， 也 不 需要 披露 正在 使 
用 的 账户 地 址 。 该 协议 使 用 的 加 密 技术 更 加 先进 ， 在 此 不 深入 讨论 。 但 是 这 个 
技术 又 一 次 证 明 ， 加 密 技 术 能 够 帮助 保护 隐私 。 

偿付 能 力 是 一 项 可 以 执行 的 监管 措施 ( 比特 币 交 易 所 可 以 自主 选择 遵守 )， 
其 他 方面 的 监管 措施 则 更 难 执行 ， 请 参见 第 7 章 。 


4.5 支付 服务 


到 目前 为 止 ， 我 们 讨论 了 如 何 存 储 和 管理 比特 币 。 现 在 我 们 来 讨论 一 下 商 
户 一 一 无 论 是 电 商 还 是 实体 店 一 一 如 何 接受 比特 币 付 款 。 通 常 ， 商 户 接受 比特 
币 付 款 只 是 为 了 满足 客户 使 用 比特 币 支 付 的 需求 ， 其 实 商户 并 不 愿意 持 有 比特 
币 ， 因 此 他 们 需要 快速 地 把 比特 币 换 成 法 币 。 对 于 商户 来 说 ， 他 们 和 希望 这 个 过 
程 一 一 收 款 和 兑换 一 一 可 以 尽 可 能 简便 地 实现 ， 最 好 是 不 需要 了 解 太 多 技术 细 
订 。 例 如 ， 不 需要 对 他 们 现 有 的 网 站 大 动 干戈 ,或 重新 购置 支付 设备 。 

商户 还 希望 整个 过 程 是 低 风 险 的。 实际 上 ， 商 户 接受 比特 币 付 款 可 能 面临 
多 种 风险 。 例 如 ， 使 用 新 技术 可 能 使 他 们 的 网 站 崩 浊 而 造成 损失 ; 使 用 比特 币 
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还 可 能 存在 安全 风险 ， 黑 客 可 能 攻破 商户 的 在 线 钱 包 ， 或 者 雇员 可 能 携 比特 币 
潜逃 ; 最 后 ， 比 特 币 还 可 能 有 汇率 风险 一 一 比特 币 的 汇率 随时 间 波 动 很 大 。 对 
一 个 商户 而 言 ， 如 果 他 的 比萨 定价 是 12 美元 ， 那 么 每 卖 出 一 张 比 院 ， 商 户 布 望 
收 到 的 钱 是 12 美元 ， 如 果 他 接受 比特 币 付 款 ， 那 么 他 会 而 望 比 特 币 的 价格 不 要 
出 现 太 大 的 波动 ， 他 要 保证 所 收 到 的 比特 币 能 兑换 回来 12 美元 。 

支付 服务 商 就 在 这 种 背景 下 发 展 起 来 了 了， 可 以 同时 满足 客户 和 商户 的 需求 。 

站 在 商户 的 角度 ,客户 用 比特 币 支付 的 整个 流程 如 下 : 

1. 商户 登录 支付 服务 网 站 ， 如 图 4.7 所 示 (图 来 自 比 特 币 基地 公司 的 网 站 
界面 ， 译 者 翻译 ) ， 按 照 网 站 的 要 求 ， 填 写 商 品名 称 、 数 量 、 商 品 描述 、 收 款 账 
户 等 信息 。 





Re 


类 型 @ 按 钮 ”oo 托管 网 页 OiFrame oO 电邮 发 票 
支付 方式 @ 现在 支付 oo 捐赠 、 oO 订阅 


按钮 类 型 








i O 瑟 使 用 比特 币 支付 





商品 名 称 | Alpaca Socks 数量 | BTC | 0.00 


商品 摘 述 ”The ultimate in lightweight footwear 


支付 给 My Wallel ( 0.00 BTC ) ; 
显示 更 多 选项 


生成 按钮 代码 





图 4.7 生成 比特 币 支 付 按 钮 的 软件 界面 示例 
注 : 通过 文 付 服务 商 提供 的 网 站 ， 商 户 可 以 轻松 生成 一 段 网 页 代码 ， 直 接 嵌 入 商户 的 现 有 网 页 
印 可 使 用 ， 
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2. 支付 服务 商 网 站 会 根据 商户 所 填 的 内 容 ， 生 产 HTML 代码 ， 商 家 可 以 下 

Te 网 页 代码 中 ， 这 时 ， 网 页 中 就 会 出 现 一 个 文 付 按钮 。 
3. 客户 在 商户 网 站 上 点 击 支付 按钮 ， 后 台 就 会 执行 整个 流程 ， 最 后 商户 会 

收 到 确认 信息 :“ [客户 ] 购买 了 [数量 ] 的 [物品 ]， 文 付 了 [金额 | 

这 种 手动 添加 按钮 的 做 法 ， 只 适用 于 只 卖 一 两 个 物品 的 小 网 站 ， 或 用 于 接 
受 捐 赠 的 网 站 ， 对 于 大 型 的 购物 网 站 ， 手 动 复 制 粘贴 成 千 上 万 次 代码 显然 是 不 
现实 的 。 因 此 ， 支 付 服务 商 网 站 也 提供 可 编程 的 界面 来 为 动态 页 面 添加 支付 
按钮 。 

现在 ， 我 们 来 看 一 看 ， 当 客户 使 用 比特 币 进行 网 购 时 ， 整 个 付款 流程 的 细 
全 是 怎么 样 的 〈 下 面 所 说 的 步 又 ， 正 是 网 4.8 摘 述 的 流程 ) 。 


(5) 确认 < 交易 ID， 人 金额 > 支付 
服务 商 





客户 
图 4.8 客户 、 商 户 和 支付 服务 商 的 交互 流程 


1. 客户 在 购物 网 站 上 挑选 了 一 个 商品 ， 当 他 打算 付款 的 时 候 ， 会 跳 转 到 一 
个 付 球 页 面 ， 页面 上 有 “用 比特 币 支 付 ” 的 按钮 (通过 艇 入 支付 服务 商 提 供 的 
HTML 代码 实现 )， 此 外 ， 页面 上 还 会 显示 一 个 交易 ID (便于 商户 记 账 ) 和 
金额 。 
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2. 如 果 客 户 想 用 比特 币 支付 ， 就 会 点 击 对 应 的 支付 按钮 ， 这 时 ， 网 页 会 问 
支付 服务 商 发 送 一 个 HTTPS 请 求 ， 告 诉 支 付 服务 商 现 在 有 个 客户 想 用 比特 币 文 
付 ， 网 页 还 会 向 支付 服务 商 传送 商家 ID 、 交 易 ID、 人 金额 等 数据 。 

3. 支付 服务 商 收 到 数据 之 后 ， 知 道 有 客户 一 一 无 论 他 是 谁 一 一 想 要 文 付 一 
定金 额 的 比特 币 ， 这 时 ， 网 页 会 弹出 一 个 窗口 ， 提 示 客 户 付 蒜 流 程 ， 客户 根据 
提示 发 起 一 笔 转账 申请 ， 从 他 的 钱包 中 转移 一 部 分 比特 币 给 文 付 服务 商 。 

4. 客户 付款 后 ， 网 站 会 重新 跳 转 到 商户 页 面 ， 并 提示 付 球 流 程 正常 。 这 总 
味 着 支付 服务 商 在 比特 币 网 络 上 收 到 了 这 笔 交 易 的 广播 ， 但 这 个 交易 还 没有 通 
过 足够 多 节点 的 核验 。 从 客户 角度 来 讨 ， 他 已 经 完成 文 付 , 但 从 商户 的 角度 讲 ， 
还 需要 等 待 支付 服务 商 的 确认 才 可 发 贷 。 

5. 最后， 支付 服务 商会 直接 向 商家 发 送 付款 任 证 (交易 ID 和 金额 ) ， 这 表 
示 支 付 服务 商 承 诺 会 支付 这 笔 钱 给 商户 ， 这 时 商户 才 开 始 发 货 . 

整个 支付 服务 的 最 后 一 个 环节 是 支付 服务 商 向 商户 结算 并 付款 一 一 将 相应 
金额 的 美元 或 其 他 货币 直接 转 到 商户 的 银行 账号 。 结 款 频 率 可 能 是 每 日 数 次 或 
每 日 一 次 ,但 不 会 每 笔 交 易 都 结算 一 次 。 支 付 服 务 商 会 按 比 例 收取 服务 费用 ， 
这 就 是 支付 服务 商 的 盆 利 模式 ， 不同 的 支付 服务 商 ， 上 述 流程 细节 可 能 有 所 不 
同 ， 但 大 抵 相 似 。 

简单 总 结 一 下 ， 通 过 支付 服务 商 的 服务 ， 客 户 可 以 用 比特 币 购物 ， 商 户 如 
期 收 到 美元 ， 支 付 服 务 商 获 得 手续 费 ， 皆 大 欢喜 。 对 商户 来 说 ， 他 只 关心 销售 
物品 ， 收 回 美 元 或 其 他 通行 的 货币 ， 中 间 的 一 切 环 节 由 文 付 服务 商 打 理 : 收取 
客户 的 比特 币 ， 并 兑换 成 货币 给 商户 。 

关键 的 是 ， 在 整个 过 程 中 ,支付 服务 商 承 担 了 所 有 风险 。 首 先 ， 它 承担 了 
安全 风险 ， 所 以 需要 好 的 安全 措施 来 管理 比特 币 ; 其 次 ， 它 承担 了 汇率 风险 ， 
它 收 取 比 特 币 然后 支付 美元 ， 如 果 美 元 竞 比 特 币 的 汇率 波动 太 大 ， 支 付 服务 商 
可 能 会 遭受 损失 ， 但 如 果 汇 率 往 有 利 的 方向 波动 ， 也 可 能 大 赚 一 笔 。 支 付 服务 
商 的 商业 模式 决定 了 它 必须 承担 风险 ，。 

需要 注意 的 是 ， 文 付 服 务 商 的 资金 流动 很 大 ， 它 收取 大 量 的 比特 币 ， 然 后 
付出 大 量 的 美元 。 因 此 ， 支 付 服务 商 自然 就 成 为 交易 所 的 活跃 成 员 一 一 通过 交 
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易 所 才能 实现 法 定货 币 与 比特 币 的 通 竞 。 对 于 支付 服务 商 而 言 ， 不 仅 需 要 考虑 
比特 币 的 汇率 问题 ， 也 要 考虑 如 何 进行 巨额 兑换 。 当 然 ， 如 果 一 个 支付 服务 商 
解决 了 这 些 问 题 ， 就 可 以 解决 客户 想 付 比特 币 而 商户 想 收 美元 的 矛盾 ， 为 此 ， 
支付 服务 商 从 每 笔 交 易 中 收 取 的 手续 费 有 可 能 使 其 实现 相当 可 观 的 利润 。 


4.6 交易 费 


前 面 的 章节 中 已 经 提 到 过 交易 费 ， 以 后 的 章节 也 会 陆续 提 到 。 本 和 草 主 要 讨 
论 在 比特 币 系 统 中 ， 交 易 费 是 如 何 设 定 的 。 

当 一 笔 交 易 被 纳入 比特 币 区 块 链 的 时 候 ， 就 可 能 文 付 了 一 笔 交 易 费 。 前 面 
章节 提 到 ， 交 易 费 是 比特 币 交 易 中 输 入 金额 (付款 方 支付 的 比特 币 ) 和 输出 金 
额 ( 收 款 方 收取 的 比特 币 ) 之 间 的 差额 一 一 输入 金额 必须 不 少 于 输出 金额 ， 否 
则 交易 无 法 完成 ; 如 果 交 易 的 输入 金额 大 于 输出 金额 ,那么 这 个 差额 就 是 交易 
费 。 交 易 费 由 将 该 交易 打包 进 茶 个 区 块 的 矿工 获得 。 

交易 费 的 经 济 学 意义 非常 有 趣 ， 也 非常 复杂 。 而 且 交 易 费 的 设 定 细节 随时 
间 变 化 而 不 断 变化 ， 我 们 在 这 里 把 时 间 框 定 在 2015 年 年 初 ， 讨 论 交 易 费 在 那个 
时 点 是 如 何 设 定 并 运作 的 。 我 们 也 会 在 本 市 末尾 简单 叙述 一 下 当前 的 情况 。 

交易 费 为 什么 存在 ?原因 是 在 比特 币 网 络 中 传播 你 的 交易 信息 是 需要 成 本 
的 一 一 每 个 节点 传播 交易 信息 ， 最 后 由 一 个 矿工 把 这 笔 交 易 打 包 进 一 个 区 块 ， 
这 些 都 有 代价 。 举 个 例子 ， 如 果 一 个 矿工 将 你 的 交易 打包 进 他 的 区 块 ， 那 么 这 
个 区 块 就 会 比 其 他 区 块 大 一 点 点 ， 也 会 花费 更 多 的 时 间 传 输 到 其 他 市 点 ， 这 样 ， 
这 个 区 块 变 成 孤 块 的 可 能 性 就 会 提高 ， 原 因 是 在 这 一 小 段 时 间 中 ， 别 的 矿工 也 
许 刚 好 完成 了 区 块 打包 。 

不 论 是 对 于 斑点 的 传播 还 是 对 于 矿工 而 言 ， 确 认 你 的 交易 都 需要 花费 代价 ， 
交易 完 便 用 来 补偿 矿工 处 理 交 易 所 付出 的 代价 。 节 点 通常 并 不 收取 费用 ， 当 然 ， 
太太 的 运行 成 本 也 比 矿工 的 运行 成 本 低 许 多 。 交 易 费 的 金额 可 以 由 发 起 交易 的 
人 目 由 设 定 ,也 可 以 不 设 定 交易 费 。 通 常 来 讲 ， 如 果 你 支付 了 较 高 的 交易 费 ， 
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则 交易 将 被 更 快 、 更 可 靠 地 传播 和 记录 。 

为 了 说 明 矿 工 如 何 设 定 交 易 费 用 ， 我 们 现在 来 看 一 下 默认 的 交易 费 政 策 。 
但 需要 注意 : 首先 ， 下 文 叙述 的 交易 费 政策 基于 2015 年 发 布 的 现行 第 0. 10.0 版 
本 ， 在 后 续 版 本 中 ， 交 易 费 政策 可 能 不 同 ; 其 次 ,设置 默认 交易 费 的 动机 是 为 
了 防止 区 块 链 被 大 量 小 额 交 易 所 “污染 ”， 而 并 不 是 想 准 确 地 评估 矿工 处 理 交 易 
的 成 本 。 

当然 ， 矿 工 无 须 人 遵守 默认 的 交易 费 政策 。 在 2015 年 ， 交 易 费 在 矿工 收入 中 
的 占 比 不 到 1% ， 因 此 ， 大 部 分 矿工 是 名 循 默 认 交 易 费 政策 的 。 但 随 着 挖 矿 奖励 
的 降低 ， 交 易 费 在 矿工 收入 中 的 占 比 会 越 来 越 高 ， 我 们 可 以 预测 ， 将 会 有 越 来 
越 多 的 矿工 不 再 遵守 默认 的 交易 费 政策 。 

现在 大 部 分 矿工 所 默认 的 交易 费 是 这 样 计算 的 : 首先 ， 如 果 交 易 满足 以 下 
三 个 条 件 ， 那 就 不 需要 支付 交易 费 : 

1. 交易 小 于 1 000 个 字 节 。 

2. 所 有 输出 为 0. 01BTC 或 更 大 。 

3. 优先 权 足 够 高 。 

优先 权 是 这 样 定义 的 : (所 有 输入 的 账 龄 的 总 和 x 输入 金额 ) /交易 规模 。 
也 就 是 说 ， 先 明确 交易 的 输入 所 对 应 的 上 一 笔 交 易 ， 把 每 笔 交 易 的 账 龄 (交易 
完成 到 现在 所 经 过 的 时 间 ) 及 输入 金额 相 乘 ， 然 后 把 乘积 相 加 ， 就 得 到 了 优先 
权 数 据 。 注 意 ， 茶 笔 交 易 的 输出 越 长 时 间 没 有 被 销 费 掉 ， 账 龄 就 越 高 ， 那 么 ， 
它 被 文 付 时 ， 交 易 的 优先 权 就 越 大 。 


块 链 ， 这 个 过 程 是 免费 的 。 否 则 ， 交 易 就 会 被 收取 费用 ， 当 前 默认 标准 是 : 每 
1 000 个 字 节 需要 支付 0. 0001BTC， 在 2015 年 ， 这 相当 于 每 1 000 个 字 节 花费 1 
半分 的 交易 费 ， 一 笔 交 易 通 常 包括 : 输入 通常 是 148 个 字 节 ， 每 个 输出 通常 是 
34 个 字 廊 ， 其 他 信息 10 个 字 节 。 如 果 一 笔 交 易 有 两 个 输入 和 两 个 输出 ， 那 么 这 
笔 交 易 的 大 小 是 400 个 字 节 。 

如 果 一 笔 交 易 没 有 满足 上 述 要求 ， 它 也 有 可 能 会 被 纳入 区 块 链 ， 但 如 果 你 
想 要 一 笔 交 易 被 更 快 、 更 有 保证 地 纳入 区 块 链 ， 那 么 就 需要 支付 一 笔 标准 的 费 
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用 。 因 此 ， 大 部 分 钱包 软件 和 支付 服务 商 在 它们 的 支付 流程 中 ， 都 包含 了 标准 
的 交易 费用 ,在 日 常 比特 币 交 易 过 程 中 ， 你 会 发 现 你 文件 了 一 定 的 交易 费用 。 

当前 ， 大 多 数 的 矿工 会 强制 要 求 交易 必须 包含 交易 费 ， 这 意味 看 他 们 不 会 
去 处 理 那 些 没 有 付 交 易 费 的 交易 (或 者 最 后 处 理 )。 当 然 也 有 些 矿 工 没 有 这 人 么 
做 ， 他们 愿意 接受 很 少 的 交易 费用 其 至 倪 帝 。 


4.7 ”货币 部 换 市 场 


otal pa 虽然 前 面谈 到 
的 支付 服务 也 能 做 到 这 一 点 ， 但 这 里 讨论 的 是 整个 货币 兑换 市 场 ， 包 括 市 场 规 
模 、 分 布 、 如 何 运 转 ， 以 及 与 这 文 个 市 场 相关 的 经 济 学 原理 。 

首先 ， 比 特 币 兑换 市 场 的 运作 和 法 币 兑换 市 场 的 运作 很 相似 。 货 币 兑 换 价 
格 的 涨 跌 取 决 于 人 们 买 入 美元 或 欧元 的 需求 。 在 比特 币 世 界 里 ， 有 不 少 网 站 
(例如 biteoincharts. com) 可 以 告诉 你 比特 币 与 不 同 货 币 之 间 的 汇率 。 

在 这 个 网 站 上 ， 可 以 看 到 有 很 多 交易 正在 进行 ， 汇 率 也 持续 在 发 生 波动 。 
比特 币 市 场 具有 高 度 的 流动 性 ， 你 可 以 在 很 多 场所 兑换 比特 币 。2015 年 3 月 ， 
Bitfinex (最 大 的 比特 币 和 美元 况 换 交易 所 ) 的 每 日 交易 量 大 约 是 70 000 比特 
币 ， 或 是 2 100 万 美元 。 

当然 ， 人 们 也 通过 当面 交易 的 方式 兑换 比特 币 。 有 许多 网 站 提供 这 种 服务 ， 
举 个 例子 ， 在 localbitcoins. com， 你 可 以 告诉 别人 你 的 位 置 ， 然 后 告诉 大 家 想 以 
什么 样 的 价格 购买 多 少 比 特 币 ， 之 后 ， 网 站 会 告诉 你 当地 有 和 多少 人 碌 意 在 约定 
的 地 点 出 售 比特 币 ， 还 会 告诉 你 他 们 出 售 比特 币 的 数量 和 价格 。 这 样 ， 你 就 可 
以 联系 他 们 ， 约 在 一 个 咖啡 馆 或 公园 ,或 者 其 他 什么 地 方 进行 交易 一 一 支付 美 
元 购 头 比特 币 。 对 于 小 的 交易 ， 在 交易 完成 之 后 ， 你 们 只 需 等 待 一 小 段 时 间 ， 
交易 便 可 以 在 区 块 链 上 被 确认 。 

交易 变 得 越 来 越 频 素 ， 人 们 开始 定期 在 固定 地 点 碰头， 进行 比特 币 交 易 。 
例如 ， 你 可 以 在 固定 的 地 点 ， 去 某 个 公园 、 街 角 或 者 咖啡 店 ， 大 家 都 在 那里 聚 
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会 ， 进 行 比特 币 的 买卖 交易 。 有 很 多 人 喜欢 这 样 的 线 下 交易 ， 与 交易 所 在 线 区 
易 相 比 ， 线 下 交易 可 以 保护 用 户 的 个 人 隐私 ， 而 根据 银行 的 监管 要 求 ， 人 们 在 
交易 所 开户 需要 提供 身份 证 明 ， 无 法 实现 匿名 。 我 们 将 在 第 7 曹 中 对 此 展开 


讨论 。 


供给 和 需求 

就 像 其 他 市 场 一 样 ， 比 特 币 交易 所 撮合 买 家 与 卖家 。 交 易 所 是 一 个 相当 大 
的 市 场 ， 每 天 的 交易 量 都 在 数 百 万 美元 的 规模 。 当 然 ， 它 还 比 不 上 纽 交 所 或 是 
能 和 美元 /欧元 外 汇市 场 相提并论 ， 但 它 也 成 了 一 定 的 气息， 而 且 比 特 币 郊 换 也 
形成 了 公允 市 场 价 格 。 一 个 交易 员 想 在 交易 所 买卖 比特 币 ， 总 是 可 以 找到 交易 
对 手 一 一 至 少 在 交易 额 不 太 巨 大 的 情况 下 如 此 。 

和 任何 一 个 其 他 流动 的 市 场 相似 ， 比 特 币 市 场 中 的 公允 价格 是 由 供给 和 需 
求 决定 的 。 供 给 是 指 比 特 币 的 供给 ， 即 可 能 被 出 售 的 比特 币 的 量 ; 需求 是 指 人 
们 对 比特 币 的 需求 ， 他 们 持 有 美元 ， 想 购买 比特 币 。 通 过 市 场 的 供给 和 需求 机 
制 ， 比 特 币 的 价格 会 被 设 定 为 一 个 价格 ， 在 这 个 价格 下 ， 比 特 币 的 供给 和 需 : 
刚好 相等 。 我 们 稍微 讨论 一 下 细 市 。 

比特 币 的 供给 是 多 少 呢 ? 供给 就 是 指 人 们 可 能 买 到 的 比特 币 数 量 ， 也 就 是 
整个 市 场 中 正在 流通 的 比特 币 数量 ， 这 个 数值 是 固定 的 ， 在 2015 年 年 末 ， 这 个 
数值 是 1 500 万 ,根据 比特 币 的 设计 ， 比 特 币 数量 将 缓慢 上 升 ， 最 终 达 到 2 100 
万 的 上 限 。 

在 考虑 比特 币 供 给 的 时 候 ， 也 可 以 将 活期 存 于 考虑 在 内 。 如 果 人 们 在 交易 
所 存 人 比特 币 ， 而 交易 所 并 没有 全 额 提取 准备 金 ， 那 么 实际 上 ， 活 期 存款 总 量 
实际 上 超出 了 交易 所 实际 留存 的 比特 币 数 量 。 

把 活期 存款 算 在 比特 币 总 供应 量 里 是 否 正 确 ， 取 决 于 我 们 如 何 定 义 总 供应 
量 。 如 果 在 我 们 所 分 析 的 市 场 中 ， 活 期 存款 可 以 被 出 售 ， 人 例如， 如果 人 们 可 以 
用 比特 币 存 蒜 部 换 美 元 ， 而 且 ， 人 们 要 求 提 取 活 期 存款 时 可 以 要 求 交 易 所 支付 
美元 ， 则 活期 存款 应 该 被 记 入 比特 币 总 供应 量 。 

值得 注意 的 是 ,通常 情况 下 ， 当 经 济 学 家 谈 到 法 定货 币 的 供应 量 的 时 候 ， 
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他 们 其 实 也 包括 了 活期 存款 ， 而 不 仅仅 计算 市 场 上 流通 的 货币 ( 即 流 动 的 纸币 
和 硬币 ) ， 原 因 是 人 们 也 使 用 活期 存款 来 购买 商品 。 所 以 ， 当 我 们 次 一 个 市 场 上 
比特 币 的 供应 量 固定 在 1 500 万 或 者 最 终 增加 到 2 100 万 时 ， 我 们 震 要 把 那些 可 
以 等 同 于 现金 使 用 的 活期 存款 也 考虑 进来 ， 因此， 比特 币 的 供应 量 和 某 些 比 特 
币 专家 所 声称 的 数量 可 能 不 同 。 我 们 要 针对 特定 的 市 场 情况 来 讨论 比特 币 的 供 
应 量 到 底 是 多 少 。 所 以 ,我们 后 面 讨 论 比 特 币 供应 量 的 时 候 ， 实 际 上 都 是 针对 
我 们 所 分 析 的 特定 市 场 而 二 的 。 

现在 我 们 再 来 看 一 看 需求 。 比 特 币 的 需求 可 以 分 为 两 类 : 一 类 是 将 比特 币 
作为 支付 中 介 ， 另 一 类 则 是 投资 需求 。 

第 一 ， 我 们 讨论 作为 文 付 中 介 的 比特 币 。 想 象 一 下 ， 妥 丽 丝 想 从 鳄 劲 处 购 
买 某 个 商品 ， 而 且 硕 望 用 比特 币 来 文 付 〈 假 定 爱丽 丝 和 鲍 勒 其 实 也 可 以 用 美元 
支付 ， 但 他 们 发 现 用 比特 币 支 付 更 方便 ) 。 我 们 再 假定 爱丽 丝 和 鲍 勃 都 不 想 长 期 
持 有 比特 币 ， 所 以 ， 爱 丽 丝 首先 会 用 美元 兑换 一 些 比特 币 用 于 文 付 ， 鲍 动 收 到 
比特 币 之 后 ， 会 再 将 比特 币 兑 换 成 美元 。 这 个 例子 的 关键 在 于 ， 用 于 支付 的 这 
部 分 比特 币 实 际 上 短暂 地 退出 了 比特 币 流通 体系 。 这 就 产生 了 比特 币 的 需求 。 

第 二 个 需求 是 投资 需求 。 有 人 想 购 买 比特 币 并 长 期 持 有 ， 等 价格 上 涨 之 后 
卖 掉 。 当 人 们 购买 比特 币 并 长 期 持 有 时 ， 这 些 比特 币 也 就 不 再 流通 。 当 比特 币 
价格 很 低 的 时 候 ， 大 家 都 会 想 买 进 比特 币 用 来 投资 ,而 当 价 格 很 高 的 时 候 ， 需 
求 则 不 会 很 高 。 


一 个 简单 的 市 场 行为 模型 

我 们 现在 做 一 个 简单 的 经 济 学 建 模 来 理解 这 些 市 场 行为 。 我 们 不 会 推演 整 
个 模型 〈 尽 管 推 浓 过 程 很 有 意思 ) ， 而 是 将 着 重 讨 论 比特 币 兑换 需求 对 比特 币 价 
格 的 影响 。 

我 们 先 假设 一 些 参 数 。T 是 指 市 场 中 所 有 参与 者 用 比特 币 进行 支付 的 总 交 
多 量 ， 该 数值 用 每 秒 钟 发 生 的 交易 量 (美元 ) 来 计量 ,我 们 假定 人 们 在 进行 支 
付 的 时 候 ， 也 总 是 想 着 比特 币 的 美元 价值 ， 这 样 会 简化 问题 。 这 样 ， 我 们 就 可 
以 用 美元 来 衡量 每 秒 钟 的 总 交易 量 。D 是 指 比特 币 用 于 支付 时 ， 暂 时 退出 流通 
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体系 的 这 段 时 间 长 度 一 一 从 付款 者 买 人 比特 币 开 始 到 收 款 人 将 比特 币 竞 换 回 市 
场 为 止 ， 以 秒 计算 。S 是 人 们 可 以 买 到 的 比特 币 总 量 ， 等 于 比特 币 总 量 目前 
是 1 500 万 左右 (未 来 会 增加 到 2 100 万 左右 ) 一 一 减 去 人 们 打算 长 期 持 有 的 比 
特 币 数量 ， 也 就 是 在 市 场 上 流通 的 、 可 以 随时 买卖 的 比特 币 总 量 。 最 后 , P 是 比 
特 币 对 美元 的 价格 。 

现在 我 们 可 以 做 一 些 计算 ， 首先， 我 们 要 计算 一 下 每 秒 钟 有 多 少 比特 币 可 
以 被 用 来 做 交易 。 在 D 秒 内 , 市 面 上 有 S 个 比特 可 以 用 于 交易 ， 所 以 每 秒 钟 有 
S/D 的 比特 币 重新 进入 流通 体系 ， 可 以 用 于 支付 。 这 是 供应 侧 的 数据 。 

在 需求 侧 ( 指 每 秒 钟 所 需 的 用 于 支付 交易 的 比特 币 数量 ) ， 我 们 总 共 的 支付 
交易 规模 是 美元， 而 每 1 美元 对 应 的 交易 ,我 们 需要 1/P 个 比特 币 来 完成 。 
所 以 ，T/P 就 是 我 们 每 秒 钟 所 需 的 用 于 支付 交易 的 比特 币 数 量 。 

在 特定 的 某 秒 钟 内 ， 供 应 是 SS4D ,需求 是 TAP。 和 其 他 市 场 一 样 ， 价 格 会 
根据 供需 关系 达到 平衡 。， 如 果 供 应 大 于 需求 ， 有 些 比 特 币 就 卖 不 出 去 ， 出 售 的 
一 方 不 得 不 降价 出 售 。 同 样 地 ， 根据 我 们 TAP 的 需求 公式 ， 当 价格 下 降 后 ， 需 
求 增 加 ， 供 应 与 需求 会 再 次 达到 平衡 。 

男 一 个 方面 ， 如 果 供 应 小 于 需求 ， 这 意味 着 有 些 人 想 购 买 比特 币 用 于 支付 ， 
但 是 买 不 到 ， 这 些 人 就 必须 出 更 高 的 价格 来 购买 ， 而 当 价 格 升 高 后 ， 需 求 就 会 
下 降 ， 供 应 与 需求 也 会 再 次 达到 平衡 。 所 以 我 们 可 以 得 到 以 下 公子 





SA/ = TP 
从 中 我 们 可 以 推算 出 价格 的 公 王 


TD 
tes 


这 个 公式 说 明 什 么 ? 我们 可 以 将 其 更 加 简化 : 我 们 假设 D (也 就 是 比特 币 
用 于 支付 时 ， 和 暂时 退出 流通 体系 的 这 上段 时 间 长 度 ) 不 变 ， 人 们 可 以 买 到 的 比特 
币 总 量 $ 也 不 变 ， 或 至 少 变化 的 速度 很 缓慢 。 这 意味 着 价格 P 和 需求 T 是 成 正 
比 的 。 所 以 ， 如 有 果 雷 求 翻 倍 ， 比 特 币 价格 也 会 翻 倍 。 我 们 可 以 根据 比特 币 的 实 
际 价格 以 及 我 们 估计 的 需求 量 做 网 ， 看 看 价格 和 需求 的 关系 是 否 真 的 和 我 们 所 
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预测 的 一 样 。 经 济 学 家 们 已 经 证 实 了 这 一 关系 。 

请 注意 ,，S (人 们 可 以 买 到 的 比特 币 总 量 ) 并 不 包含 那些 用 于 投资 而 被 长 期 
持 有 的 比特 币 。 所 以 如 果 越 来 越 多 人 购买 比特 币 用 于 长 期 投资 ， 则 S 会 下 降 ， 
根据 上 面 的 公式 , P 会 上 涨 。 这 很 容易 理解 ， 当 持 有 比特 币 作 为 长 期 投资 的 人 
增多 ， 用 于 支付 中 介 的 比特 币 的 价格 目 然 上 涨 。 

这 并 不 是 一 个 完整 的 市 场 模型 。 一 个 真正 的 市 场 模型 还 必须 考虑 投资 者 的 


心理 活动 ， 如 果 投 资 者 相信 比特 币 价 格 会 上 涨 ， 他 们 对 比特 币 的 需求 就 升 高 。 
这 就 是 我 们 所 说 的 投资 者 预期 ， 加 入 投资 者 预期 后 ， 模 型 会 变 得 很 复杂 ， 我 们 
在 这 里 不 展开 讨论 。 


总 之 ,存在 比特 币 和 美元 、 比 特 币 和 其 他 货币 的 兑换 市 场 。 这 些 市 场 有 足 
够 的 流动 性 ， 你 可 以 兑换 或 买卖 比特 币 ， 这 种 兑换 很 可 靠 ， 当 然 价钱 会 有 波动 。 
我 们 可 以 用 经 济 学 模型 来 理解 供给 和 需求 对 市 场 的 影响 ， 如 果 我 们 有 办 法 估计 
一 些 不 可 知 的 信息 ， 比 如 说 未 来 人 们 需要 多 少 比 特 币 用 于 支付 ， 我 们 就 可 以 预 
测 市 场 。 经 济 学 模型 很 重要 也 很 有 用 ， 现 在 也 有 很 多 人 从 事 更 细节 的 研究 ， 但 
详细 的 经 济 学 模型 并 不 在 本 书 的 讨论 范围 。 


延伸 阅读 


比特 币 的 安全 机 制 和 银行 的 安全 机 制 类 似 ， 但 也 有 些 重要 的 差异 。Ross An- 
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一 谈 ， 教 材 可 以 在 网 络 上 免费 获得 : 

Anderson, Ross. Security Engineering. Hoboken, NJ: John Wiley & Sons ，2008. 


分 析 比 特 币 交易 所 为 何 倒闭 的 书籍 ， 建 议 阅 读 : 

Moore, Tyler, and Nicolas Christin. “Beware the Middleman: Empirical Analysis 
of Bitcoin- 上 Exchange Risk. In Financial Cryptography and Data Security. Heidel- 
berg: Springer 2013. 


Adi Shamir 关于 密码 分 存 的 书籍 .， 
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Dagher, Gaby and Benedikt Biinz, Joseph Bonneau, Jeremy Clark，and Dan 
Boneh. “Provisions : Privacy-Preserving Proofs of solvency for Bitcoin Exchanges.™ 
In Proceedings of the ACM Conference on Computer and Communications Security. New 


York: ACM Press, 2015. 
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下 面 的 文 草 有 相关 示例 : 

Weir, Matt, Sudhir Aggarwal, Breno De Medeiros, and Bill Glodek. “ Pass- 

word Cracking Using Probabilistic Context-Free Grammars. Presented at the 2009 
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search, Puerto Rico, 2015. 
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这 一 章节 我 们 将 着 重 讨论 比特 币 挖 矿 (bitcoin mining) 。 前 面 我 们 已 经 讨论 
了 比特 币 是 如 何 依赖 这 些 矿工 们 而 运行 的 一 一 他 们 查证 交易 记录 ， 制 造 和 储存 
所 有 的 区 块 ， 并 对 被 写 人 区 块 链 的 区 块 达 成 共识 。 我 们 还 知道 矿工 们 会 从 中 得 
到 一 些 奖励 ， 但 还 是 有 些 悬 而 未 决 的 问题 : 这 些 矿 工 都 是 谁 ? 他 们 是 如 何 进 入 
这 个 行业 的 ? 他 们 是 怎么 运作 的 ? 他 们 的 商业 模式 是 什么 ?他 们 对 环境 造成 什 
么 影响 ? 我们 将 在 这 一 章节 回答 这 些 问 题 。 


5.1 比特 币 矿 工 的 任务 


你 硅 是 想 加 入 比特 币 挖 矿 行列 ， 我 们 不 会 极力 劝阻 你 ,但 会 提醒 你 比特 币 
挖 矿 潮 很 像 当年 的 淘金 热 。 历 史上 的 淘金 热 充 斥 着 各 种 年 轻 的 淘金 者 下 海 淘金 
发 财 的 故事 ， 并 且 不 可 避免 地 ， 许 多 人 最 终 失 去 了 一 切 。 在 这 些 确实 经 历 了 二 
辛 万 禁 的 人 们 当中 ,也 只 有 少数 人 变 得 富有 。 我 们 将 在 本 章 中 了 解 到 ， 和 传统 
淘金 以 及 其 他 快速 致 高 途径 一 样 ， 比 特 币 控 矿 也 面临 着 类 似 的 挑战 和 风险 。 我 
们 首先 要 看 一 下 技术 细节 。 要 成 为 比特 币 矿 工 ， 你 必须 加 入 比特 币 网 络 并 与 其 
他 区 点 相 联 。 建 立 链接 之 后 ， 还 有 六 个 任务 要 完成 : 
. 监听 交易 广播 。 监 听 网 络 上 的 交易 广播 ， 然 后 验证 它们 的 签名 是 正当 有 
效 的 ， 交 易 输出 没有 被 重复 文 付 。 

2. 维护 区 块 链 网 络 和 监听 新 的 区 块 。 必 须 先 维护 区 块 链 。 为 了 做 到 这 一 点 ， 


一 
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-开始 你 可 以 要 求 其 他 节点 把 区 块 链 上 的 历史 记录 (在 你 加 入 区 块 链 网 络 之 二 
的 ) 同步 过 来 。 然 后 ， 监 听 那 些 被 广播 到 网 络 上 的 新 的 区 块 。 你 的 任务 是 验证 
你 收 到 的 每 个 区 块 ， 这 里 的 验证 是 指 保证 区 块 里 的 每 笔 交 易 都 是 有 效 的 ， 而 且 
这 个 区 块 包含 了 一 个 有 效 的 随机 数 。 我 们 会 在 本 章 后 面谈 到 验证 随机 数 的 技术 
细节 

3. 组 装 一 个 备 选区 块 。 一旦 拥有 最 新 的 全 部 区 块 链 数 据 备份 ， 你 就 可 以 开 
始 制造 你 自己 的 区 块 了 。 要 做 到 这 一 点 ， 你 要 把 所 监听 到 的 交易 进行 组 合并 放 
进 一 个 新 的 区 块 ， 然 后 把 该 新 区 块 排 在 整 条 链 中 最 新 的 区 块 的 后 面 。 你 必须 保 
证 你 建立 的 新 区 块 里 的 每 笔 交 易 都 是 正当 有 效 的 。 

4. 找到 一 个 让 你 的 区 块 有 效 的 随机 数 。 这 一 步 的 工作 量 最 大 ， 也 是 矿工 工 
作 中 最 难 的 一 个 环节 。 我 们 后 面 会 谈 到 细节 。 

5. 希望 你 的 区 块 被 全 网 接受 。 即 使 你 找到 了 一 个 区 块 ， 也 不 能 保证 该 区 块 
会 成 为 共识 链 ( concensus chain) 的 一 部 分 。 这 需要 有 点 运气 , 希望 其 他 的 矿工 


接受 你 的 区 块 ， 然 后 从 该 区 块 开 始 继 续 接 龙 下 去 ， 而 不 是 从 你 的 耽 争 对 手 发现 
的 区 块 开 始 。 


6. 利润 。 如 果 所 有 其 他 矿工 接受 了 你 的 区 块 ， 那 你 就 能 获取 利润 。 在 2015 
年 ， 一 个 区 块 的 奖励 是 25 个 比特 币 ， 大 约 在 10 000 玩 元 左右 。 此 外 ， 如 果 在 该 
区 块 里 的 任何 交易 都 有 交易 费 ， 所 有 交易 费 也 会 为 矿工 所 有 。 到 目前 为 止 ， 交 
易 费 作为 额外 收入 ， 相 对 来 说 还 比较 低 ， 大 概 是 一 个 区 块 默认 奖励 的 1% 。 

我 们 可 以 把 矿工 的 任务 分 成 两 类 : 第 一 类 任务 是 验证 交易 和 区 块 ， 这 是 比 
特 币 网 络 赖 以 生存 和 运转 的 基础 。 这 些 任务 也 是 比特 币 协议 需要 矿工 的 首要 原 
因 。 第 二 类 任务 是 和 其 他 矿工 鄞 和 争 ， 争 取 可 以 找到 区 块 并 因此 获 益 。 这 些 任务 
并 不 是 比特 币 网 络 存在 所 必需 的 ， 而 是 为 了 鼓励 矿工 去 完成 第 一 类 任务 而 设置 
的 。 当 然 ， 这 两 类 任务 都 是 使 比特 币 成 为 一 个 数字 货币 的 必要 和 条件， 因为 矿工 
必须 获得 奖励 才 会 去 完成 这 些 重 要 的 任务 。 


中 如果 下 一 个 区 块 始 于 其 他 人 发 现 的 有 效 区 块 ， 你 发 现 的 这 个 区 块 就 会 变 成 无 效 区 块 而 被 丢 
痉 。 一 一 译 者 注 
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寻找 有 效 区 块 

现在 回 到 如 何 找到 一 个 使 区 块 有 效 的 随机 数 的 问题 上 。 在 第 3 草 中 我 们 讨 
论 过 ， 区 块 链 主 要 有 两 层 基于 哈 硕 范 数 的 结构 。 第 一 层 在 是 区 块 链 上 ， 每 个 区 
块 的 头 部 都 有 一 个 指针 指向 其 前 一 个 区 块 ， 第 二 层 是 在 每 一 个 区 块 里 ， 包 括 所 
有 交易 的 梅 克 尔 树 。 

作为 矿工 ， 首 先 需 要 从 你 的 交易 池 中 选 出 一 系列 有 效 的 交易 并 且 编 详 成 梅 
克 尔 树 。 当 然 ， 只 要 不 超过 每 个 区 块 随 机 数 的 交易 上 限 ， 你 可 以 选择 编译 的 交 
易 数 量 。 然 后 ， 组 装 出 一 个 新 的 区 块 ， 让 它 的 头 部 指向 区 块 链 上 的 前 一 个 区 块 。 
新 区 块 的 头 部 ， 有 一 个 32 位 的 随机 数 区 域 。 你 需要 尝试 不 同 的 临时 随机 数 ， 直 
到 该 随机 数 能 使 整个 区 块 的 哈 硕 值 小 于 目标 值 。 这 个 目标 值 一 般 体 现 为 以 堆 开 
始 的 特定 位 数 的 数值 。 作 为 一 名 矿工 ， 你 可 能 使 随机 数 从 0 开始 ， 每 次 增加 数 
值 1， 直 到 该 随机 数 能 使 区 块 有 效 为 止 ， 如 图 5.1 所 示 。 


mrkl root: HC) mrkl_root: H 


es 





H()H 1() Hy Ht 


25.0 一 A 
coinbase 


0 x 0000...00 






图 5.1 寻找 有 效 区 块 
注 : 在 这 个 例子 中 ， 矿 工 尝试 了 一 串 都 是 零 的 临时 随机 数 ， 但 没有 产生 有 效 的 哈 希 值 ， 所 以 矿 
工 继续 尝试 其 他 不 同 的 临时 随机 数 . 
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在 大 多 数 情况 下 ， 随 机 数 试 过 所 有 32 位 可 能 的 取 值 后 ， 仍 然 不 能 产生 一 个 
有 效 的 哈 希 值 ， 这 时 候 你 必须 做 出 更 多 的 改变 。 注意， 图 5.1 中 币 基 〈coin- 
base) 还 有 一 个 随机 数 可 以 改动 。 当 你 遍历 区 块 涉 部 随机 数 所 有 可 能 的 取 值 后 ， 
可 以 改变 币 基 里 的 随机 数 ， 比 如 加 1， 然后 可 以 重新 改变 区 块头 部 随机 数 来 寻找 
有 效 的 哈 和 布什 。 

当 改 变 币 基 里 的 随机 数 后 ， 整 个 梅 克 尔 树 上 交易 的 哈 希 值 都 会 改变 ( 见 
图 5.2) ， 因 为 币 基 值 的 改变 会 癌 上 传递 ， 所 以 改变 币 基 的 随机 数值 比 改变 头 
部 随机 数值 的 代价 要 大 很 多 。 正 因为 如 此 ， 矿 工大 部 分 时 间 只 改动 头 部 的 随 
机 数 ， 只 有 在 凯 历 头 部 2 个 随机 数值 且 还 没有 找到 一 个 有 效 区 块 时 ， 才 改动 
币 基 的 随机 效 。 








Bp | 
a a i ss 
2 a 2 > 
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图 5.2 改变 临时 随机 数 
注 : 改变 币 基 里 的 临时 随机 数 ， 整 个 梅 克 尔 树 的 哈 希 值 都 会 因此 而 改变 。 


你 所 和 莹 试 的 绝 大 多 数 临 时 随机 数 都 不 会 成 功 ， 但 若 能 够 坚持 足够 长 的 时 间 ， 你 
总 能 找到 一 对 正确 的 临时 随机 数组 合 一 盖头 部 随机 数 与 币 基 随 机 数 ， 用 来 产生 一 个 
符合 哈 布 值 要 求 的 新 区 块 。 找 到 后 要 立即 宣布 ， 就 有 希望 得 到 相应 的 区 块 奖励 。 
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ol 二 入 [有 司 一 八 : 坟 日 
1 每 个 人 都 在 运算 同一 个 谜 题 吗 ? 


你 可 能 会 想 ， 如 果 每 个 矿工 都 在 临时 随机 数值 上 逐步 加 1， 总 不 是 大 家 都 
在 按照 同一 个 运算 模式 解 同样 的 谜 ? 岂 不 是 最 快 的 一 个 总 赢得 竞争 吗 ?” 不 会 
的 。 首 先 ， 矿 工 们 不 太 可 能 在 完全 相同 的 一 个 区 块 上 进行 运算 ， 因 为 每 个 厅 
工 都 会 把 或 多 或 少 不 同 的 交易 用 不 同 的 次 序 来 放 进 区 块 内 。 但 更 关键 的 是 ， 
就 算 两 个 不 同 的 矿工 所 组 建 的 区 块 里 包括 了 一 模 一 样 的 交易 ， 这 两 个 区 块 的 
哈 希 值 还 是 会 不 同 。 请 记 住 在 币 基 交易 里 ， 矿 工会 写 自己 的 地 址 接收 新 铸币 。 
这 个 地 址 本 身 的 区 别 会 沿 着 梅 克 尔 树 往 上 传递 直达 树 根 ， 导 致 整 棵 树 上 的 哈 
希 函 数值 不 同 ， 从 而 保证 了 没有 两 个 矿工 的 区 块 是 一 样 的 。 除 非 两 个 矿工 共 
享 公开 密 钥 。 这 种 情况 只 有 可 能 两 个 矿工 同 在 一 个 矿 池 (我 们 以 后 会 讨论 )。 
同 在 一 个 矿 池 的 矿工 会 互相 通信 ， 确 保 使 用 不 同 的 币 基 临 时 随机 数 以 避免 重 
复工 作 。 


找到 一 个 有 效 区 块 到 底 有 多 难 ? 到 2015 年 年 底 ， 这 个 挖 矿 的 难度 目标 区 域 
值 (用 16 进 制 来 表示 ) 为 : 
0000000000000000172EC0000000000000000000000000000000000000000000 
所 以 任何 有 效 区 块 的 哈 硕 值 必须 低 于 这 个 值 。 换 名 话说， 大 约 2 个 临时 随 
机 数 里 只 有 不 到 一 个 可 以 成 功 ， 这 是 一 个 非常 巨大 的 数值 。 一 个 粗略 的 估计 ， 
它 比 全 球 人 口 总 和 的 平方 还 要 大 。 也 就 是 说 ， 如 果 地 球 上 的 每 个 人 都 是 一 个 包 
含 7 亿 人 口 的 独立 星球 ,那么 总 人 口 将 会 是 2 。 


决定 难 撒 


每 挖 出 2 016 个 区 块 ， 挖 矿难 度 会 改变 一 次 ， 这 个 周期 大 约 是 两 个 星期 。 难 
度 的 改变 是 根据 上 2 016 个 区 块 的 挖 矿 效率 来 决定 的 。 用 下 列 公 式 来 表达 : 


下 一 个 难度 = 上 一 个 难度 x2 016 x 10 分 钟 
产生 上 2 016 个 区 块 所 花费 的 时 间 
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注意 ，2 016 x 10 分 钟 就 是 两 周 ， 也 就 是 说 ， 如 果 产 生 一 个 区 块 需要 10 分 
钟 ， 那 么 产生 2 016 个 区 块 就 需要 两 周 时 间 。 所 以 这 个 公式 的 意义 就 是 ,测量 全 
网 难度 进而 维持 平均 每 10 分 钟 产生 一 个 新 的 区 块 的 速度 。 控 矿难 度 改变 的 周期 
是 两 周 ， 并 没有 什么 特别 的 意义 ， 只 不 过 是 一 个 权衡 之 下 的 结果 。 如 果 这 个 周 
期 太 短 ， 难 度 会 随 着 每 一 个 周期 找到 的 区 块 的 数目 的 不 同 而 波动 〈 概 率 问 题 ) 。 
如 果 太 长 ， 整 个 网 络 的 哈 希 算 力 会 与 难度 大 大 地 失去 平衡 〈 难 度 的 调整 沛 后 于 
计算 能 力 的 变化 ) 。 

每 个 比特 币 矿工 独立 地 计算 难度 ， 只 接受 达到 这 个 难度 的 区 块 。 两 个 在 不 
同 分 又 上 的 矿工 可 能 会 有 不 同 的 计算 难度 ,但 在 同一 个 区 块 工作 的 矿工 一 先 
对 计算 难度 达成 共识 。 

图 $. 3 中 显示 ， 挖 矿难 度 会 随 着 时 间 不 断 地 增加 。 其 增加 不 一 定 是 稳定 线性 
或 者 是 指数 型 ， 而 是 取决 于 市 场 行 为 。 控 矿难 度 会 受到 有 多 少 新 矿工 加 入 的 影响 ， 
新 矿工 的 加 入 本 身 又 由 比特 币 的 当前 价格 来 决定 。 总 的 来 说 ， 当 越 来 越 多 的 矿工 
加 入 并 且 挖 矿 的 硬件 设备 效率 越 来 越 高 ， 找 到 有 效 区 块 所 花费 的 时 间 就 会 越 短 ， 
紧 接着 难度 就 会 增加 ， 直 到 重新 站 到 每 10 分 钟 找到 下 一 个 有 效 区 块 。 

在 图 5.3 中 ,虽然 整个 网 络 的 哈 希 速度 是 平滑 器 上 增长 的 ， 那 条 实 线 代表 的 难 
度 却 呈现 阶梯 哺 数 式 增长 。 这 是 因为 每 产生 2 016 个 区 块 才 会 调整 计算 难度 。 


比特 币 险 硕 速 度 vs 挖 矿难 度 ( 两 个 月 ) 


一 险 希 速度 (1 008 ) 
一 一 控 矿 难度 






7 月 8 月 


图 5.3 挖 矿难 度 随 时 间 变 化 (2014 年 年 中 ) 
注 : y 轴 开 始 于 80 000TH/s (全 网 算 力 ) 。 哈 希 速 度 是 基于 超过 1 008 个 区 抉 计算 出 来 的 平均 值 
资料 来 源 : bitcoinwisdom. conmi 
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可 以 从 另外 一 个 角度 来 看 网 络 增长 率 ， 0 
有 效 区 块 。 图 5.4 (a) 展示 出 区 块 链 上 两 个 连续 区 块 产生 的 间隔 时间 是 多 少 秒 。 
它 逐 渐 下 降 ， 跳 升 ， 又 逐渐 下 降 。 当 然 产生 这 种 现象 的 原因 就 是 每 2 016 个 区 块 
之 后 ， 难 度 重 新 被 设 定 ， 找 到 区 块 的 时 间 又 重新 回 到 大 约 10 分 钟 。 虽 然 一 个 调 
整 周期 内 难度 都 不 会 变 ， 但 是 随 着 越 来 越 多 的 矿工 加 入 ， 全 网 哈 布 算 力 增 加 而 


比特 币 有 效 区 块 产生 所 耗 强 的 时 间 vs 挖 位 难度 


-有 效 区 块 产生 所 耗费 的 时 间 (2 016 )|v。 局 M 
一 控 矿 难度 | J \ pt 4.5e+09 
3.Se+09 控 
矿 
2.Se+09 
2.0e+09 





图 5.4 (a) 找到 一 个 有 效 区 块 所 花费 的 时 间 (2014 年 早期 ) 

注 : y 轴 开 始 于 460 秒 。 找 到 一 个 有 效 区 块 花费 的 时 间 是 2 016 个 区 块 样本 花费 时 间 的 平均 值 . 
由 于 当时 全 网 挖 矿 速 度 的 连续 快速 增长 ， 找 到 一 个 有 效 区 块 所 花费 的 时 间 在 两 周 的 时 间 内 
稳步 减少 。 

资料 来 源 : bitcoinwisdom. com 


比特 币 有 效 区 块 产 生 所 耗费 的 时 间 vs 控 矿难 度 


- 有 效 区 块 产 生 所 耗费 的 时 间 (2 016 ) 
一 一 挖 矿难 度 





3 月 4 月 


图 5.4 (b) 找到 一 个 有 效 区 块 所 花费 的 时 间 (2015 年 早期 ) 
注 : y 轴 开始 于 540 秒 。 找 到 一 个 有 效 区 块 花费 的 时 间 是 2 016 个 区 块 样本 建造 时 间 的 平均 值 
由 于 整个 网 络 增长 开始 减速 ， 所 以 找到 有 效 区 块 的 平均 时 间 非 常 接近 10 分 钟 ， 偶 尔 还 会 因 
为 全 网 算 力 缩小 而 超过 10 分 钟 
资料 来 源 : bitcoinwisdom. com 
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难度 不 变 ， 找 到 有 效 区 块 的 速度 越 来 越 快 ， 直 到 大 概 两 个 星期 内 2 016 个 区 块 被 
发 现 之 后 ， 难 度 会 被 重新 调整 。 

即使 找到 有 效 区 块 的 时 间 目 标 被 设 定 为 平均 10 分 钟 ， 但 是 在 2013 年 和 
2014 年 的 大 多 数 时 间 ， 这 个 时 间 平 均 是 9 分 钟 左 右 ， 并 且 在 两 周 的 周期 末尾 阶 
段 时 接近 8 分 钟 。 计 算 表 明 ， 全 网 运算 能 力 的 增 速 大 概 是 每 两 周 25% ， 或 者 每 
年 几 百 倍 ， 这 个 数字 非常 惊人 。 

不 出 所 料 ， 这 种 增长 不 会 无 休止 地 进行 ，2015 年 的 增 速 就 降低 很 多 (偶尔 
也 会 负增长 ) 。 在 图 5.4 (b) 中 ,我们 可 以 看 到 全 网 哈 布 算 力 达到 了 一 个 稳定 
的 状态 ， 发 现 每 个 区 块 的 时 间 非 党 接近 10 分 钟 ， 其 至 有 时 会 超过 10 分 钟 ， 在 
这 种 情况 下 难度 将 会 被 调 低 。 这 种 曾经 被 认为 不 可 想象 的 状况 却 在 2015 年 频 柳 
发 生 。 

虽然 到 目前 为 止 ， 全 网 哈 希 算 力 还 没有 经 历 过 灾难 性 的 倒退 ， 但 是 并 不 排 
除 它 发 生 的 可 能 性 。 一 个 有 关 比 特 币 朋 盘 的 设想 被 称 作 “ 死 亡 螺旋 ”， 不断 下 降 
的 比特 币 价格 导致 挖 矿 无 利 可 图 ， 矿工 们 因此 而 退出 挖 矿 (全 网 运算 能 力 下 
降 ) ， 继 而 进一步 导致 价格 下 跌 。 


s.2 控 矿 所 需 硬 件 


前 面 我 们 谈 到 矿工 所 要 做 的 计算 是 十 分 困难 的 。 我 们 现在 谈 一 下 为 什么 计 
算 如 此 困难 ， 以 及 看 一 看 矿工 用 来 进行 这 些 计算 所 用 到 的 硬件 设备 。 

矿工 计算 难度 的 核心 在 于 ， 对 SHA -256 哈 希 函数 的 运算 。 我 们 在 第 1 章 抽 
象 地 讨论 过 哈 希 函数 。SHA -256 是 一 个 通用 的 密码 学 哈 希 函数 ， 它 是 在 2001 
年 被 标准 化 的 密码 学 哈 希 函数 大 家 族 里 的 一 员 。SHA 是 安全 哈 希 算法 (Secure 
Hash Algorithm) 的 简称 。SHA -256 是 一 个 不 错 的 选择 ， 因 为 它 是 比特 币 被 发 
明 时 可 用 的 密码 学 哈 希 函数 中 保密 性 最 强 的。 虽然 它 的 安全 性 有 可 能 随 着 时 间 
推移 而 慢 慢 降低 ， 但 至 少 现在 它 还 是 很 安全 的 。SHA - 256 的 设计 来 自 美国 国家 
安全 局 (NSA) ， 这 也 导致 了 一 些 阴 谋 论 的 诞生 ， 但 是 并 不 影响 它 是 一 个 很 强 的 
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哈 硕 函数 的 事实 。 


近 距 离 了 解 SHA -256 


图 5.5 展示 了 SHA -256 运算 的 具体 细节 ， 虽然 我 们 不 需要 知道 比特 币 工 作 
原理 的 所 有 细节 ， 但 是 对 矿工 计算 任务 的 大 概 了 解 是 很 有 帮助 的 。 


人 SHA 家 族 





SHA - 256 名 称 中 的 “256” 代 表 它 有 256 位 的 状态 和 输出 ， 技 术 上 来 说 ， 
SHA -256 是 SHA -2 函数 家 族 中 几 个 密切 相关 的 函数 成 员 之 一 ， 包 打 SHA - 
512 ( 它 有 更 大 的 状态 位 ， 所 以 也 更 加 安全 ) 。 还 有 一 个 是 SHA -1, 这 是 一 个 有 
160 位 输出 的 早期 函数 ， 虽 然 目 前 认为 安全 性 不 高 ， 但 是 同样 应 该 在 比特 币 脚 
本 里 。 

整个 SHA -2 家 族 ， 包 括 SHA -256 在 密码 学 上 的 安全 性 是 得 到 公认 的 ， 
而 下 一 代 产 品 SHA -3 家 族 已 经 从 一 个 公开 的 竞赛 ( 由 美国 国家 标准 与 技术 
研究 所 举办 ) 中 诞生 了 。SHA -3 目前 正在 进行 最 后 阶段 的 标准 化 测试 ， 但 在 
比特 币 出 现 的 时 候 ， 它 还 没有 出 世 。 


SHA - 256 是 一 个 256 位 的 状态 机 。 这 256 个 状态 被 分 割 成 8 个 32 位 的 字 
段 ， 这样 它 可 以 最 优化 地 运行 在 32 位 的 硬件 上 。 每 一 轮 运算 选择 一 定数 量 的 字 
段 一 一 有 些 会 进行 一 些小 的 途 位 调整 最 终 进行 32 位 模 加 法 运算 (modular 
addition) ， 然 后 运算 结果 被 移 到 状态 最 左 的 第 一 个 字段 ， 这 样 使 得 整个 状态 进行 
向 右 位 移 。 这 种 设计 的 思路 来 自 简单 位 的 线性 反馈 移 位 寄存 需 (Linear Feedback 
Shift Registers ， 何 称 LFSR ) 。 

图 5. 5 展示 了 一 轮 SHA -256 的 压缩 师 数 运算 ， 一 个 完整 的 SHA - 256 运算 
要 做 64 次 这 样 的 迭代 运算 ， 在 每 一 轮 运 算 中 ， 会 使 用 稍微 不 同 的 常数 ， 所 以 所 
有 的 迭代 运算 都 是 不 一 样 的 。 

矿工 的 任务 就 是 尽 可 能 快 地 进行 这 种 男 数 运算 。 和 矿工 们 互相 比拼 运算 速度 ， 
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256 结 构图 


64 次 
循环 
友 代 
运算 





32 位 模 加 法 运算 


(玉田 隔 ) 每 一 轮 不 同 的 常数 


图 5.5 SHA -256 的 结构 
注 : 这 是 一 轮 压 缩 运 算 。Maj 是 按 位 运算 的 。Ch 也 是 按 位 运算 的 ， 根据 第 一 个 输入 值 的 不 同 而 
决定 是 选择 第 二 个 还 是 第 三 个 YY 和 ,通过 按 位 循环 和 @ 巾 运算 来 操纵 32 位 的 字符 输入 。 


算得 越 快 收益 越 高 。 为 了 实现 尽 可 能 快 的 速度 ， 矿 工 需 要 进行 32 位 字段 操控 ， 
32 位 模 加 法 运算 ， 同 时 做 按 位 逻辑 运算 。 

我 们 很 快 就 会 看 到 ， 在 比特 币 机 制 下 ， 为 了 得 到 供 其 他 节点 使 用 的 哈 希 也 
数 ， 实 际 上 要 求 两 轮 SHA -256 运算 。 这 是 比特 币 的 奇怪 之 处 ， 进 行 两 次 运算 的 
原因 并 不 清楚 ,但 这 就 是 比特 币 的 个 性 ， 作 为 比特 币 矿工 只 能 服从 。 


CPU 挖 矿 


第 一 代 挖 矿工 作 都 是 在 普通 电脑 上 完成 的 ， 也 就 是 用 通用 中 央 处 理 器 
(CPU) 来 进行 运算 。 事 实 上 ，CPU 挖 矿 的 工作 就 像 图 5.6 中 代码 所 示 的 逻辑 那 
伴 简 单 ， 也 就 是 说 ,矿工 简单 地 按照 线性 的 方式 尝试 所 有 的 临时 随机 数 ， 在 软 
件 中 进行 SHA - 256 的 运算 ,并 检查 结果 确认 是 否 找 到 一 个 有 效 区 块 。 请 注意 ， 
正如 我 们 之 前 提 到 过 的 ， 这 段 代码 要 进行 两 次 SHA -256 运算 。 

普通 电脑 运行 这 段 代 码 到 底 有 多 快 ? AR 每 秒 可 以 
计算 大 约 2 千 万 次 哈 希 图 数 (20MHAs) ， 按 照 这 个 速度 ， 根 据 2015 年 早期 的 难 
度 水 平 (2 )， et pti 萤 不 僵 张 地 说 ， 控 矿 
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TARGET = (65535 << 268) / DIFFICULTY 
coinbase nonce = 0) 
while (1) { 
header = makeBlockHeader(transactions, coinbase_ nonce); 
for (header nonce = 6;j header nonce «< (1 «<< 32); header nonce++){ 
if (SHA256(SHA256(makeBlock(header, header nonce))) «< TARGET) 
break; //block found! 


} 
coinbase nonce++; 
} 
图 5.6 CPU 控 矿 的 伪 代 码 
真 的 非常 困难 ! 


如 今 使 用 一 个 普通 电脑 用 CPU 控 比 特 币 ， 在 目前 的 难度 下 已 经 无 利 可 图 了 。 
在 过 去 的 几 年 里 ， 用 CPU 控 矿 的 旷工 可 能 会 非常 失望 地 发 现 ， 他 们 永远 不 可 能 
通过 挖 矿 赚 到 钱 , 因为 他 们 不 了 解 比 特 币 是 如 何 运行 的 。 


GPU 挖 矿 

第 二 代 矿 工 意 识 到 用 CPU 控 矿 是 在 做 无 用 功 ， 他 们 开始 用 显卡 或 者 图 形 处 
理 枯 (CPU) 来 挖 。 

几乎 每 一 个 现代 个 人 电脑 都 有 内 置 的 GPU 以 文 持 高 性 能 图 像 处 理 ， 这 些 
GPU 都 有 高 吞吐 量 和 高 并 行 处 理 功能 ， 这 两 点 对 比特 币 挫 矿 都 非常 有 利 ， 比 特 
币 控 矿 存在 大 量 的 并 行 处 理 ， 因 为 你 需要 同时 用 不 同 的 临时 随机 数 计算 多 个 哈 
希 值 。2010 年 ， 有 一 门 计算 机 语言 开放 运算 语言 (Open Computing Language， 
向 称 OpenCL) 诞生 了 了 ， 这 是 一 个 可 以 使 CPU 进行 非 图 像 处 理 类 工作 的 通用 话 
言 。OpenCL 是 一 门 高 级 语言 ， 人 们 可 以 用 它 在 显卡 上 做 很 多 种 类 型 的 运算 ， 而 
且 速 度 比 在 CPU 上 的 要 快 。 这 给 通过 CPU 来 进行 比特 币 挖 矿 铺 平 了 道路 。 

当时 ， 通 过 显卡 来 挖 矿 有 好 几 个 吸引 人 的 地 方 。 首 先 ， 屎 显卡 很 容易 ， 而 
且 哪 怕 是 业余 爱好 者 也 能 轻松 配置 显卡 。 你 可 以 在 网 上 或 大 多 数 专营 电子 产品 
的 商场 里 头 到 它 。 对 大 众 来 说 ， 显 卡 是 最 容易 获得 的 高 端 硬件 设备 。 其 次 ， 品 
卡 还 有 一 些 格外 适合 比特 币 挖 矿 的 特性 : 显卡 的 并 行 性 设计 使 其 具备 很 多 算术 
逻辑 单元 (Arithmetic Logic Units， 简 称 ALU) ， 可 以 同时 进行 SHA - 256 运算 . 


ww ai bbt.com DODODDDDOD 





147 


区 块 链 : 技术 驱动 金融 


有 一 些 GPU 还 特别 集成 了 针对 位 移 操 作 的 指令 ， 这 对 SHA - 256 的 运算 非常 
有 用 。 
大 多 数 显卡 都 可 以 超频 ， 这 意味 着 如 果 你 愿意 承担 显卡 过 热 或 者 出 现 故 障 
的 风险 的 话 ， 你 可 以 让 显卡 以 高 于 设计 频率 的 频率 更 快 地 运行 。 超频 是 游戏 玩 
家 们 渴望 了 多 年 的 特性 。 对 于 比特 币 挖 矿 来 说 ， 超 频 会 增加 收益 ， 即 使 超频 可 
能 引起 一 些 运 算 错 误 . 
举例 来 说 ， 将 显卡 超频 50% ， 也 就 是 说 运算 速度 加 快 50% ， 同 时 可 能 会 造 
成 SHA -256 运算 出 错 概 率 增加 30% 。 如 果 显 卡 错误 地 接受 了 一 个 不 正确 的 运 
算 结果 一 一 虽然 不 太 可 能 发 生 一 一 你 还 可 以 通过 CPU 来 进行 二 次 确认 。 然 而 ， 
你 可 能 永远 都 不 会 知道 一 个 正确 的 运算 结果 被 钻 过 了 ,但 是 通过 超频 庆生 的 运 
算 速 度 的 增加 ， 完 全 可 以 抵消 由 于 显卡 运行 错误 产生 的 正确 输出 减少 ， 这 样 超 
频 还 是 合算 的 〈 从 经 济 效益 上 来 说 ) 。 在 上 述 的 例子 中 ， ee 
原来 的 1.5 倍 ， 而 运算 成 功率 降低 到 了 0.7， 那 么 乘积 就 是 1. 0 ， 也 就 是 意味 着 
超频 使 得 你 的 获 利 增加 了 5% ， 为 了 最 大 化 收益 ， 和 了 很 多 时 间 去 优化 最 佳 
的 超频 比例 
最 后 ， 你 可 以 通过 一 个 CPU 和 一 个 主板 加 载 许 多 个 GPU。 然 后 你 使 可 以 
在 安装 了 多 个 CPU 的 电脑 上 运行 比特 币 节 点 ， 监 听 网 络 收集 交易 ， 组 装 区 块 ， 
同时 用 多 个 CPU 进行 SHA - 256 的 和 运算， 以 更 快 地 找到 正确 的 临时 随机 数 及 其 
对 应 的 有 效 区 块 。 很 多 人 创造 性 地 发 明了 很 多 有 趣 的 “自制 型 ”硬件 设置 ， 如 
图 $.7 所 示 ， 用 一 个 CPU 来 驱动 很 多 个 GPU。 这 种 情况 仅 发 生 在 比特 币 的 早期 ， 
当时 大 多 数 仿 工 都 是 比特 币 的 爱好 者 ,他 们 并 不 具备 服务 器 搭建 及 运营 经 验 ， 
但 是 他 们 还 是 做 了 很 多 巧妙 的 设计 ， 使 得 大 量 的 CPU 可 以 在 一 个 较 小 的 空间 里 
同时 运行 ， 同 时 还 解决 了 散热 的 问题 . 





GPU 挖 矿 的 缺点 


CPU 控 丰 也 有 堵 点 。CPU 有 大 量 的 内 置 便 件 来 进行 图 形 处 理 ， 这 些 特定 硬 
件 对 比特 币 控 矿 没有 任何 用 处 ， 比 如 它们 大 量 的 浮 点 运算 单元 (floating point 
units ) ， 在 SHA -256 的 运算 中 完全 用 不 到 。 
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全 矿工 和 游戏 玩家 的 对 比 


根据 民间 传说 ，2011 年 ， 由 于 比特 币 矿工 采购 了 太 多 的 显卡 以 至 于 影响 
到 了 正常 的 市 场 需求 ， 这 造成 了 比特 币 社区 和 游戏 社区 之 间 的 摩 探 ， 因 为 游 
戏 玩家 们 发 现 采 购 某 个 热门 显卡 变 得 越 来 越 难 。 有 趣 的 是 ， 尽 管 如 此 ， 很 多 
失望 的 游戏 玩家 因此 而 对 比特 币 产 生 了 兴趣 ， 甚 至 有 些 游 戏 玩 家 因此 而 变 成 
了 比特 币 矿 工 ! 





图 5.7 一 个 用 于 比特 币 挖 矿 的 家 庭 组 装 式 GPU 机 架 
资料 来 源 : Istvan Finta ，bilcointalk. org 


同时 CPU 也 没有 很 好 的 冷却 处 理 设置 ， 尤 其 是 当 你 把 大 量 的 CPU 堆放 在 一 
起 的 时 候 ， 这 个 问题 就 尤为 突出 。 设 计 显 卡 的 时 候 并 没有 考虑 如 图 5.7 所 示 的 


这 种 堆放 的 情形 ， 原 始 的 设计 场景 就 是 在 一 台电 脑 、 一 个 机 箱 、 一 块 显卡 运行 
做 图 形 处 理 而 已 


GPU 也 非常 耗 电 ， 所 以 一 台 普 通 的 电脑 也 会 消耗 很 多 电 。 由 此 引发 的 男 一 


ww ai bbt.com DODODDDDOD 





149 


个 缺点 就 是 ， 你 要 么 自己 构建 特定 的 主板 ， 要 么 化 大 价钱 购买 可 以 搭载 大 量 显 
卡 的 特定 的 主板 。 

一 个 非常 高 端的 显卡 经 过 超频 之 后 可 能 使 得 运行 速度 达到 200MHA/s， 也 就 
是 说 ， 每 秒 可 以 进行 2 亿 次 哈 希 运算 ， 这 是 用 CPU 不 可 能 达到 的 一 个 数量 级 。 
但 是 即便 如 此 ， 即 使 你 将 100 块 这 样 的 显卡 集成 在 一 起 进行 运算 ， 根 据 2015 年 
早期 的 比特 币 挖 矿难 度 ， 仍旧 需要 运算 几 百 年 才 有 可 能 找到 一 个 有 效 区 块 。 因 
此 ,用 GPU 来 挖 矿 基 本 上 已 经 成 为 历史 ,但 是 在 其 他 一 些 男 类 币 的 早期 阶段 还 
是 很 有 效率 的 。 


现场 可 编程 门 阵列 挖 矿 

2011 年 左右 ， 用 于 现场 可 编程 门 阵列 ( Field-Programmable Gate Array， 简 称 
FPCA) 的 人 硬件 设计 语言 Verilog， 第 一 次 用 于 比特 币 挖 矿 。 一 些 矿工 开始 用 FP- 
GA 来 代替 CPU 进行 控 矿 。 


司 


-了 


ER 
Pe Ie hl 
Se 
ON pe WEN 





5.8 家 庭 组 装 式 FPGA 机 架 


YA es = Mos 大 s . . 、 
资料 来 源 : Xiangfu Liu ，www- openmobilefree. net 
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FPGA 的 工作 原理 是 在 追求 定制 硬件 的 最 佳 性 能 的 同时 ， 用 户 可 以 现场 调试 
或 者 修改 人 硬件 参数 。 相 比 之 下 ， 常 用 的 硬件 是 在 出 厂 之 前 就 设计 好 的 ， 以 后 是 
无 法 更 改定 制 而 只 能 永远 做 同样 的 工作 。 

FPGA 比 GPU 的 性 能 好 ， 特 别 是 在 数位 操作 (bit fiddling) 方面 FPGA 很 轻 
易 就 可 以 做 到 。FPGA 也 很 容易 冷却 ， 不 像 GPU，FPGA 理论 上 可 以 使 用 硬件 板 
卡 上 的 每 一 个 晶体 管 进行 挖 矿 运 算 。 跟 CPU 一 样 ， 可 以 将 很 多 FPCA 堆 炙 在 一 
起 ， 通 过 一 个 中 央 处 理 单元 来 驱动 所 有 的 FPGA， 如 图 5.8 所 示 。 总 体 来 说 ， 相 
比 显 卡 堆 秋 ,我 们 可 以 构建 一 个 更 加 十 净 整 洁 的 大 型 FPGA 阵列 。 

精心 使 用 FPGA 可 以 使 得 运算 速度 上 升 到 1GH/s， 也 就 是 每 秒 10 亿 次 哈 希 
运算 。 这 显然 比 CPU 或 者 GPU 在 性 能 上 都 有 很 大 的 提高 ， 不 过 即使 你 有 100 块 
每 秒 运算 1GH/s 的 FPCA 板 ， 在 2015 年 早期 的 比特 币 难 度 之 下 ， 平 均 仍 旧 需 要 
100 年 的 时 间 才 能 找到 一 个 有 效 区 块 。 

虽然 性 能 提高 了 ,但 由 于 以 下 几 个 原因 ， 用 FPGA 控 矿 的 时 代 也 非常 短暂 : 
首先 ， 使 用 FPGA 来 挖 矿 其 实 更 加 困难 一 一 几乎 需要 一 直 超 频 使 用 一 一 这 远 超 
FPGA 供 普通 消费 者 而 设 定 的 频率 。 因 为 这 个 原因 ， 很 多 人 在 用 FPGA 挖 矿 的 时 
候 经 党 看 到 各 种 报错 和 故障 。 其 次 ,优化 FPGA 的 32 位 加 法 处 理 上 十 分 困难 ， 
而 这 在 SHA -256 的 运算 中 非常 关键 。 最 后 ，FPGA 在 多 数 商 店 都 买 不 到 ， 而 且 
相 比 GPU 来 说 ， 只 有 少数 人 才 知 道 怎 么 搭建 FPGA 并 进行 相应 的 编程 。 

最 重要 的 是 ， 即 使 在 性 能 功 耗 比方 面 ，FPGA 相 比 CPU 的 提升 也 不 是 很 高 ， 
这 器 使 得 用 FPGA 挖 矿 只 是 一 个 短期 现象 。 尽 管 GPU 挖 矿 的 时 代 持 续 了 大 约 一 
年 ， 而 FPGA 存在 的 时 间 更 加 有 限 一 一 仅仅 存在 了 几 个 月 ， 之 后 定制 化 的 专用 
集成 电路 技术 ( Application Specific Integrated Circuits， 简 称 ASIC) 就 钙 牛 了 . 


专用 集成 电路 技术 挖 矿 

当今 的 挖 矿 市 场 主要 被 ASIC 所 主导 。 这 些 IC 芯片 〈 集 成 电路 芯片 ) 被 设 
计 、 制 造 、 优 化 ， 就 是 为 了 比特 币 挖 矿 这 个 唯一 目的 。 有 几 个 大 型 的 供应 商 出 
售 这 些 芯片 ， 消 费 者 可 以 买 到 不 同 种 类 的 ASIC 矿 机 一 一 较 大 型 但 略微 昂贵 点 的 
款式 ， 或 者 更 加 小 巧 的 ， 当 然 还 有 -一些 可 以 节省 能 源 的 环保 型 等 。 
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设计 ASIC 芯片 需要 非常 专业 的 知识 ， 它 们 所 需要 的 研发 周期 也 比较 长 。 尽 
管 如 此 ， 比 特 币 ASIC 芯片 的 设计 制造 过 程 〈 从 发 现 问 题 到 制作 出 解决 问题 的 心 
片 ) 出 乎 意料 地 迅速 ， 甚 至 打破 了 芯片 行业 的 业界 纪录 。 但 弊端 是 前 几 代 的 早 
期 蕊 片 的 设计 有 许多 缺陷 ， 而 且 大 多 数 疙 片 没有 达到 它们 所 承诺 的 性 能 指标 。 
但 现在 的 比特 币 矿 机 想 片 技术 ,已 经 相当 成 熟 可 靠 了 。 

到 2014 年 年 底 ，ASIC 芯片 的 寿命 十 分 短暂 ， 原 因 是 整个 网 络 的 运算 能 力 不 
断 地 快速 上 升 。 绝 大 部 分 早期 的 ASIC 芯片 在 6 个 月 后 就 被 淘汰 了 。 在 这 段 时 间 
里 ， 大 部 分 的 利润 都 是 在 早期 实现 的 (后 期 几乎 没有 什么 利润 了 )。 矿 工 往 往 在 
ASIC 芯片 “保鲜 期 ”的 前 6 个 星期 可 以 实现 整个 利润 的 一 半 ， 这 就 使 得 芯片 的 
出 货 速度 显得 至 关 重 要 。 基 于 这 个 行业 的 不 成 熟 ， 许 多 矿工 经 常 遇 到 延迟 出 货 
的 情况 ， 有 些 芯 片 送 到 客户 手 上 的 时 候 已 经 快要 被 淘汰 了 。 由 于 比特 币 的 全 网 
运算 能 力 已 经 稳定 下 来 ， 现 在 的 比特 币 控 矿 设备 有 比较 长 的 寿命 ， 但 在 早期 ， 
失望 的 客户 对 供应 商 的 欺诈 控诉 的 事件 时 有 发 生 。 

在 比特 币 历史 的 大 部 分 时 间 里 ， 挖 矿 的 经 济 效 益 对 小 矿工 来 说 一 直 不 是 很 
好 ， 这 些小 矿工 们 需要 通过 在 线 预 定 矿 机 ， 等 待 矿 机 生产 送 货 ， 然 后 再 开始 控 
矿 赚 钱 。 实 际 上 ， 大 多 数 情况 下 ， 由 于 不 断 增 加 的 控 气 难度， 很 多 人 是 一 开始 
就 注定 要 亏 钱 的 。 好 在 到 2013 年 的 时 候 ， 比 特 币 价格 大 涨 ， 彻底 扭 转 了 比特 币 
矿工 亏 钱 的 状况 。 实 际 上 ， 挖 据 比 特 币 一 直 是 一 个 很 昂贵 的 投资 ， 因 为 要 赌注 
比特 币 的 价格 会 上 升 ， 即 使 是 在 挖掘 比特 币 中 赚钱 的 那些 矿工 ， 如 果 能 够 把 投 


资 于 挖掘 设备 的 钱 直 接 用 于 购 天 比特 币 ， 并 在 和 登 利 时 卖 掉 ， 这 样 他 们 的 状况 会 
更 好 些 ， 


如 今 你 仍然 可 以 购买 矿 机 ， 我 们 也 不 会 劝阻 你 通过 这 种 方式 去 了 解 比特 币 
和 加 密 数 字 人 货币， 但 是 我 们 再 次 强调 ， 这 不 是 一 个 明智 的 生财 之 道 。 考 虑 到 矿 
机 运行 所 需要 耗费 的 电力 成 本 以 及 冷却 成 本 ， 大 多 数 ASIC 矿 机 都 无 法 靠 控 矿 来 
赚 回 成 本 ， 


如 今 : 专业 挖 矿 的 天 下 
在 今天 ， 挖 矿 已 经 从 个 人 领域 转 到 了 大 型 专业 挖 矿 中 心 。 为 了 保持 竞争 优 
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热 ， 运 作 这 些 挖 矿 中 心 的 公司 不 愿意 公布 其 运营 细节 。 据 猜测 ， 这些 运 党 者 大 


量 采 购 打 过 折 的 更 新 的 功效 更 高 的 ASIC 矿 机 而 不 是 采购 那些 能 够 直接 出 售 给 个 
人 的 ASIC 矿 机 来 维持 利润 。 
图 5. 9 就 是 一 个 在 格鲁吉亚 运作 的 挖 矿 中 心 的 图 片 。 





5.9 Bitfury 的 挖 矿 中 心 
注 : 在 格鲁吉亚 运作 的 专业 挖 矿 中 心 


要 建立 一 个 挖 矿 中 心 ， 需要 具备 三 个 重要 因素 : 气息、 电费 、 网 络 接 入 速 
度 。 尤 其 是 要 找 一 个 气温 偏 寒 的 地 方 ， 这 样 可 以 节省 冷却 费用 (大 型 计算 中 心 
会 产生 大 量 的 热量 ， 如 不 马上 降温 ， 会 损害 矿 机 )。 冷 却 是 比特 币 挖 矿 最 大 的 挑 
战 ， 其 挖 矿 本 身 的 耗 电量 ， 用 单位 面积 来 算 要 超过 传统 的 数据 中 心 ， 所 以 也 会 
产生 差不多 当量 的 热量 宕 要 冷却 。 当 然 那 里 的 电费 要 便宜 。 为 外 ， 接 入 网 速 要 
快 ， 使 得 与 比特 币 网 络 中 的 其 他 节点 更 快速 地 链接 ， 这 样 当 新 的 区 块 被 广播 出 
来 的 时 候 ， 你 可 以 很 快 监 听 到 .基于 这 些 考 量 ， 所 以 格鲁吉亚 和 冰岛 成 为 比特 
币 控 矿 中 心 的 首选 之 地 ， 


与 挖 金 矿 的 相似 之 处 
管 比特 币 挖 矿 这 个 名 词 起 得 很 有 和 意思， 如果 回顾 比特 币 控 矿 的 发 展 历程 ， 
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我 们 就 不 难 发 现 其 与 历史 上 的 控 金 矿 有 着 有 趣 的 相似 之 处 。 它 们 都 开始 于 类 似 
的 淘金 者 热潮 ， 很 多 年 轻 人 和 业余 爱好 者 积极 地 参与 其 中 。 

比特 币 挖 矿 经 历 了 一 个 逐渐 演化 的 过 程 : 从 CPU 到 CPU， 册 到 FPCA ， 基 
终 达 到 现在 的 ASIC。 而 历史 上 的 控 金 矿 则 是 从 个 人 拿 着 盘子 在 沙里 淘金 ， 到 一 
小 群 人 用 流沙 槽 来 淘金 ， 再 到 一 群 人 用 水 冲刷 金山 来 淘金 ， 直 到 现代 机 械 化 露 
天 挖 矿 (如 图 5.10)。 比 特 币 与 黄金 都 从 个 人 操作 为 主 了 逐步 演变 为 大 公司 专业 
运作 。 另 外 一 个 相似 点 就 是 ， 大 多 数 的 利润 都 被 设备 制造 商 拿 走 了， 不 管 是 黄 
金 采 掘 设备 还 是 比特 币 ASIC 矿 机 生产 商 ， 而 埋单 的 都 是 那些 布 望 一 夜 致富 
的 和信。 





淘金 用 的 盘 流沙 槽 、 水 冲刷 淘金 。” ”露天 机 械 化 控 矿 


图 5.10 比特 币 和 黄金 的 挖 矿 进程 
注 : 我 们 可 以 看 到 ， 比 特 币 挖 矿 和 黄金 采 据 进程 有 一 个 清晰 的 类 似 进 程 ， 两 种 活动 在 最 初 都 对 
个 人 用 户 很 友好 ， 但 是 随 着 时 间 的 推移 ， 被 大 型 公司 采取 集中 式 大 批量 运作 控制 。 


未 来 
现在 ， 用 ASIC 挖 矿 是 唯一 一 种 可 以 赚钱 的 比特 币 挖 矿 手段 ,但 对 个 体 矿 工 
来 说 ， 是 十 分 不 友好 的 。 人 们 不 禁 要 问 ， 未 来 会 如 何 发 展 ” 小 规模 矿工 是 否 永 


十 不 可 能 髓 参与 到 比特 币 挖 矿 中 ?是 否 有 办 法 把 小 规模 矿工 重新 纳入 挖 矿 体系 
中 去 ?更 重要 的 是 ， 现 在 使 用 的 ASIC 和 专业 挖 矿 中 心 是 否 已 经 违反 了 比特 币 当 
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初 设计 的 初 袁 : 一 个 完全 去 中 心 化 的 系统 ， 在 这 个 系统 上 里 每 个 人 都 能 用 自己 
的 电脑 去 挖 矿 。 

此 外 ， 如 果 这 已 经 违背 了 中 本 聪 对 比特 币 的 最 初 设 计 ， 换 成 系统 只 人 允许 
CPU 来 挖 矿 是 不 是 更 好 ? 我 们 将 在 第 8 草 探 讨 这 些 问 题 ， 以 及 一 些 对 ASIC 不 友 
好 的 蔡 代 方案 。 


自我 循环 周期 

事实 上 ， 有 一 些 规模 较 小 的 另类 币 已 经 使 用 了 和 SHA -256 不 同 的 解 恋 算 
法 ， 但 是 它们 的 控 矿 发 展 轨 迹 和 比特 币 没 有 什么 不 同 。 我 们 将 在 第 8 章 到 第 10 
莉 更 深入 地 讨论 这 些 男 类 币 ， 但 是 请 记 住 ，ASIC 的 研发 和 生产 有 着 比较 长 的 时 
间 周 期 ， 所 以 如 果 一 个 使 用 新 的 解 六 算法 的 另类 币 (即使 只 是 在 SHA -256 的 
基础 上 做 一 点 修改 ) ， 在 有 针对 性 的 ASIC 面世 之 前 还 是 会 有 一 段 时 间 。 通 常 跟 
比特 币 一 样 ， 其 他 另类 币 的 控 矿 发 展 也 会 经 历 从 CPU 到 GPU， 青 到 FPGA， 或 
者 耳 接 到 ASIC 的 过 程 (前 提 是 这 个 另类 币 非 常 成功 ， 比 如 莱特 币 ) 。 

因此 ， 小 规模 矿工 的 策略 也 许 应 该 是 尝试 一 些 新 的 另类 币 ， 在 它们 的 价值 
还 没有 足够 大 到 吸引 大 型 挫 矿 集团 投资 的 时 候 ， 成 为 这 些 另 类 币 的 控 矿 先行 者 ， 
就 跟 黄 金 采掘 的 过 程 一 样 ， 小 规模 矿工 可 以 去 尝试 那些 还 没有 被 证 明 储 量 的 区 
域 。 当 然 ， 这 也 意味 着 先行 者 们 将 会 面临 一 个 重大 的 风险 ， 也 就 是 这 些 另 类 币 
有 可 能 永远 不 会 成 功 。 


5.3 能 源 消 耗 和 生态 环保 


我 们 看 到 大 型 职业 化 挖掘 中 心 是 如 何 接 管 了 比特 币 的 挖 气 工作， 我 们 也 看 
到 比特 币 挖掘 与 历史 上 的 淘金 热 有 多 么 类 似 。 时 至 今日 ， 金 矿 开 采 一 直 被 环保 
问题 所 困扰 ， 比 特 币 控 矿 虽然 还 没有 达到 那个 程度 ， 但 它 已 经 开始 消耗 大 量 能 
源 ， 这 已 经 成 为 热门 话题 。 本 节 中 ,我 们 将 着 重 讨论 比特 币 控 矿 的 能 源 消耗 问 
题 ， 以 及 其 对 货币 系统 和 地 球 生态 的 影响 。 
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热力 学 限制 

根据 热力 学 里 的 蓝 道 尔 原理 ( Landauers principle， 蓝 道 尔 是 前 苏联 20 世纪 
60 年 代 天 才 物 理学 家 ) ， 任 何 一 个 不 可 逆转 的 计算 都 会 消耗 一 定 的 能 源 ， 逻 辑 
上 来 说 ， 这 种 计算 也 可 以 被 认为 是 一 种 信息 丢失 的 过 程 。 蓝 道 尔 原 理 特 别 指出 ， 
任何 移 位 运算 都 会 消耗 一 定量 (k Tin 2) 的 焦耳 ， 其 中 k 代表 玻 尔 效 曼 常数 
( Boltzmann constant， 大 概 等 于 1. 38 x10-23JZAK), T 代 表 芯 片 以 开尔文 为 单位 的 
温度 ，ln 2 代表 2 的 自然 对 数 ， 大 约 等 于 0.69。 算 下 来 每 一 个 单位 数据 的 运算 
会 消耗 一 点 点 热量 ， 这 从 基础 物理 学 原理 上 提供 了 一 个 能 源 最 低 消 耗 下 限 。 

这 里 我 们 不 做 进一步 推导 ， 大 概 的 意思 就 是 每 进行 一 个 不 可 逆 的 数位 运算 
都 会 消耗 一 个 最 小 量 的 焦耳 ， 能 源 是 永远 不 会 被 摧毁 的 ， 只 会 从 一 种 形式 转变 
成 另外 一 种 形式 ， 在 计算 中 所 消耗 的 能 源 大 多 数 都 是 从 高 等 级 的 电能 转换 过 来 
的 ， 然 后 被 转换 成 可 以 在 环境 中 最 终 消失 的 热能 。 

作为 一 种 密码 学 中 的 哈 希 函数 ，SHA -256 就 是 一 个 不 可 逆 的 运算 ， 我 们 可 
以 回忆 一 下 第 1 草 里 所 说 的 ， 不 可 逆转 是 作为 密码 学 哈 布 图 数 的 一 个 基本 要 求 ， 
既然 不 可 道 运算 需要 消耗 能 源 ， 那 么 SHA -256 作为 比特 币 控 矿 的 基本 要 素 也 是 
不 可 逆 的 ， 那么 比特 币 的 挖 矿 过 程 必 定 会 消耗 能 源 。 蓝 道 尔 原理 中 描述 的 能 源 
消耗 下 限 要 远 低 于 实际 挖 矿 过 程 所 消耗 的 电能 ， 虽 然 我 们 目前 无 法 使 计算 的 能 
源 消耗 达到 这 个 热力 学 原理 中 的 最 优 消 耗 ， 但 即使 我 们 做 到 了 ， 比 特 币 挖 矿 也 
是 要 消耗 能 源 的 。 

比特 币 挖 矿 是 如 何 消 耗 能 源 的 ?这 个 消耗 过 程 分 三 个 部 分 ， 其 中 有 些 可 能 
还 不 是 很 明显 : 

1. 内 涵 能 源 。 首 先 ， 比 特 币 挖掘 设备 需要 被 生产 出 来 ， 生 产 时 所 用 的 原 材 
料 束 需要 被 物理 开采 出 来 ,然后 要 把 这 些 材 料 通过 一 系列 的 生产 流程 转化 为 比 
特 币 挖 矿 专 用 的 ASIC， 这 两 个 过 程 都 需要 消耗 能 源 ， 这 被 称 为 内 涵 能 源 。 在 收 
到 那些 矿 机 的 时 候 ， 你 已 经 消耗 了 巨大 的 能 源 一 一 当然 包括 物流 过 程 中 产生 的 
能 耗 一 一 即使 这 时 候 你 还 没有 开局 这 些 矿 机 ! 

可 喜 的 是 ， 随 着 越 来 越 少 的 挖掘 容量 的 出 现 ， 内 涵 能 源 的 消耗 就 会 降低 。 
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随 着 越 来 越 少 的 人 会 去 购买 新 的 ASIC 矿 机 ， 这 些 矿 机 被 淘汰 的 速度 也 会 减 慢 ， 
那么 相应 的 内 涵 能 源 也 会 在 多 年 的 挖 矿 中 被 挫 销 。 

2. 电能 。 当 矿 机 启动 开始 控 矿 时 ， 它 就 会 消耗 电能 。 根 据 蓝 道 尔 原理 ， 这 
一 步 肯 定 会 消耗 能 源 。 随 着 矿 机 越 来 越 高 效 ， 所 消耗 的 电能 也 随 之 下 降 ， 但 是 
根据 蓝 道 尔 原理 这 个 消耗 不 能 降 为 0， 电 能 消耗 将 会 伴随 着 矿工 的 控 矿 生 举 。 

3. 冷却 。 比 特 币 矿 机 需要 被 冷却 ， 这 是 为 了 防止 矿 机 出 故障 。 如 果 在 非 
常 寒冷 的 环境 中 进行 小 规模 的 挖 矿 运 营 ， 冷 却 成 本 会 微不足道 。 但 即使 是 在 
非常 寒冷 的 环境 中 ， 一旦 在 一 个 很 小 的 空间 运行 了 足够 多 的 ASIC， 还 是 需要 
承担 额外 的 冷却 成 本 去 解决 散热 问题 。 通 常 冷却 挖 矿 机 的 耗 能 形式 也 是 利用 
电力 。 


大 规模 挖 矿 

内 涵 能 源 和 电能 的 消耗 (每 单位 控 矿 工作 完成 ) 会 随 着 挖 矿 运营 规模 的 增 
加 而 降低 ， 设 计 和 制造 运行 在 大 型 数据 中 心 的 芯片 本 有 身 单位 成 本 会 降低 ， 同 时 
由 于 不 需要 很 多 电源 ， 你 可 以 使 得 电力 输送 更 加 有 效 。 

当 讨 论 冷却 问题 的 时 候 却 恰恰 相反 ,冷却 成 本 会 随 着 规模 的 增 大 而 上 升 。 
如 果 要 进行 一 个 大 规模 的 比特 币 控 矿 运营 ， 需 要 在 一 个 地 方 运行 大 量 的 矿 机 ， 
那 就 意味 着 空间 比较 小 不 易于 散热 。 冷 却 成 本 会 随 着 规模 化 而 增加 (每 单位 运 
算 量 ) ， 除 非 矿 机 运行 的 物理 空间 同等 规模 地 增加 。 


能 耗 预 估 

整个 比特 币 系 统 到 底 需 要 耗费 多 少 能 源 ” 当 然 , 我 们 无 法 做 到 精确 统计 ， 
因为 这 是 一 个 去 中 心 化 的 网 络 ， 大 量 的 矿 机 分 散在 各 处 ， 并 且 没 有 正式 记录 。 
但 是 有 两 种 基本 方法 可 以 对 比特 币 矿 机 所 产生 的 能 耗 进行 估算 。 根 据 2015 年 早 
期 的 比特 币 价 格 ， 我 们 可 以 进行 一 个 快速 的 简单 计算 ,我们 必须 强调 一 下 ， 这 
个 数字 只 是 一 个 大 概 的 佑 算 ， 因 为 不 管 哪 种 方法 ， 计 算 过 程 中 所 用 的 参数 都 是 
很 难 估计 并 且 变 化 很 快 ， 这些 结果 只 能 是 一 个 数量 级 上 的 估算 ，。 
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自 上 而 下 

第 一 种 是 自 上 而 下 的 方法 。 现 在 每 一 个 区 块 奖励 是 25 个 比特 币 ， 大 约 值 
6 500 美 元 。 也 就 是 说 ， 比 特 币 体系 平均 每 秒 钟 凭空 产生 11 美元 给 矿工 。 

现在 我 们 思考 一 个 问题 : 如 果 矿 工 把 所 有 的 11 美元 都 用 在 电费 上 ， 他 们 可 
以 买 到 多 少 电 ? 当然, 矿工 通常 并 不 会 把 全 部 的 收入 都 用 于 电费 ， 这 是 用 于 计 
算 电费 的 上 限 。 电 价 在 各 地 的 差异 非常 大 ， 我们 可 以 用 美国 的 工业 电价 ， 大 约 
每 千瓦 时 (kwh) 10 美 分 的 价格 来 预 佑 ， 也 就 是 每 百 万 焦耳 ( megajoules， 人 简称 
MJ) 大 概 3 美 分 。 如 果 比 特 币 矿工 把 所 有 的 每 秒 11 美元 收入 都 用 来 支付 电费 ， 
他 们 可 以 购买 每 秒 367 百 万 焦耳 ， 消 耗 大 概 367 000 千瓦 时 电力 。 


单位 能 耗 和 单位 电力 ”国际 单位 制 (SI) 中 ， 能 耗 的 衡量 单位 是 焦耳 ， 电 
力 的 衡量 单位 是 瓦特 ，1 瓦特 代表 每 秒 钟 1 焦耳 。 


自 下 而 上 

第 二 种 是 自 下 而 上 的 方法 ， 通 过 观测 每 个 区 块 的 难度 ， 了 解 矿 工 计 算 的 哈 
和 硕 数 量 ， 并 以 此 来 进行 估计 。 假 设 所 有 的 矿工 都 使 用 最 高 效 的 矿 机 ， 我 们 可 以 
推导 出 一 个 最 低 电 耗 。 

目前 ， 最 好 的 商业 化 矿 机 的 功效 数值 差不多 是 3CHZsVWY。 那 就 是 ， 这 样 
的 ASIC 矿 机 每 消耗 1 瓦特 的 电力 ， 可 以 进行 每 秒 30 亿 次 哈 硕 困 数 运算 。 目 前 
全 网 算 力 是 350PH/s， 也 就 是 350 000 000GHAs.@ 根据 这 两 个 参数 计算 ， 我们 
就 可 以 知道 目前 基于 这 种 矿 机 效率 ， 每 秒 钟 全 网 的 矿 机 需要 消耗 117MW 的 电 
力 。 当 然 这 个 数值 还 没有 包括 所 有 冷却 需要 消耗 的 能 耗 以 及 芯片 本 身 的 内 涵 能 
耗 。 因 为 只 是 做 一 个 能 耗 的 下 限 人 和 估计， 这 么 算是 可 行 的 。 

结合 上 述 两 种 方法 ， 可 以 推导 出 比特 币 挖 矿 大 概 所 耗 电力 ， 这 是 几 百 万 瓦 
特 (megawatt， 人 简称 MW) 的 数量 级 。 





(中 GH 为 gigahash，s 为 second，w 为 watt。 译 者 注 
加 截至 本 书 翻 译 的 时 间 ， 全 网 算 力 已 经 增长 到 了 1 200PH/s。 





详 者 注 
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100 万 瓦特 究竟 是 多 少 ? 为 了 便于 直观 理解 ， 可 以 对 比 一 下 大 型 发 电厂 产生 
多 少 电力 。 世 界 上 最 大 的 发 电厂 之 一 ， 中 国 的 三 峡 水 电站 的 发 电 总 量 是 10 000 
MW ， 一 个 普通 的 大 型 水 力 发 电厂 的 发 电 总 量 一 般 是 1000MW。 世 界 上 最 大 的 核 
电站 日 本 柏 崎 刹 羽 核电 站 (Kashiwazaki-Kariwa) 的 发 电 总 量 是 7 000MW ， 而 平 
均 来 说 核电 站 的 发 电量 为 4000MW， 而 火电 电厂 的 发 电 总 量 一 般 为 2 000MW 。 

根据 我 们 的 估算 ， 整 个 比特 币 网 络 大 概 消 耗 了 一 个 大 型 电厂 总 发 电量 的 
10% 。 虽 然 这 个 数字 已 经 相当 惊人 ， 但 是 和 地 球 上 其 他 的 用 电 “ 大 户 ” 比 起 来 ， 
这 个 还 算是 小 的 。 


比特 币 挖 矿 在 滔 费 能 产 吗 

比特 币 这 种 “浪费 ”能 源 的 形式 经 稼 被 人 诉 病 ， 因 为 SHA - 256 的 运算 没 
有 其 他 任何 用 处 。 但 是 我 们 必须 认识 到 任何 一 种 支付 系统 都 需要 能 源 和 电力 的 
消耗 。 就 拿 传 统 的 货币 来 说 ,纸币 印刷 、ATM 机 各 的 运行 、 便 币 分 类 机 大、 后 
钞 机 、 支 付 服务 系统 以 及 运送 现 钞 和 金条 的 武 站 押运 和 车， 无 一 不 在 消耗 各 种 能 
源 。 你 也 可 以 一 样 说 这 些 能 源 的 消耗 除了 维护 整个 贷 币 体系 之 外 ， 也 没有 任何 
其 他 用 处 。 所 以 ， 如 果 我 们 认可 比特 币 作 为 一 个 有 用 的 货币 体系 ， 那 么 支持 比 
特 币 体系 的 能 耗 就 不 能 认为 古 痕 费 。 

当然 ， 如 采 我 们 可 以 用 更 加 节省 能 源 的 解 这 算法 来 代替 现在 的 比特 币 控 矿 ， 
同时 确保 货币 的 安全 性 ， 那 目 然 更 好 。 我 们 将 在 第 8 章 讨论 这 个 问题 ， 然 而 我 
们 并 不 知道 这 种 可 能 性 是 否 存 在 。 


能 源 的 循环 使 用 

尺 一 种 使 比特 币 更 加 环保 的 主意 是 ， 把 控 矿 过 程 中 产生 的 热能 进行 二 次 利 
用 ， 而 不 是 让 热能 无 请 地 耗 散在 空气 中 。 这 种 收集 计算 机 运算 所 产生 的 热能 所 
模式 被 称 为 “数据 火炉 ”( data furmace)。 这 个 想法 的 原理 是 使 比特 币 矿 机 挖 矿 
产生 的 热能 经 过 一 种 特殊 供暖 装置 的 转换 ， 用 来 进行 家 庭 供 热 ， 而 不 需要 传统 
的 电 取 暖 融 。 这 部 分 热能 供给 就 成 了 比特 币 控 矿 的 副产品 。 这 么 做 的 效率 其 实 
并 不 比 购买 一 个 传统 的 电 取 上 暖 右 差 。 也 许 对 于 家 庭 消费 者 来 说 ， 使 用 一 个 “ 数 
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据 火 炉 ” 并 不 会 比 将 供暖 设备 连 上 网 络 和 电源 插座 更 复 淋 。 

这 种 方案 也 有 一 些 问 题 。 虽 然 矿 机 发 热 的 效率 和 电 取 暖 硕 差不多 ， 但 是 它 
们 本 身 比 用 天 然 气 供 上 暧 的 效率 差 很 多 。 男 外 如 果 在 夏天 每 个 人 都 把 矿 机 关闭 
( 至少 在 北半球 ) ,那么 比特 币 的 全 网 算 力 将 会 伴随 人 类 取暖 需求 而 产生 季 世 性 
变动 。 如 果 数 据 火 炉 方 案 真 的 推广 开 来 ， 将 会 给 比特 币 的 共识 机 制 市 来 很 有 有 
趣 的 影响 。 

矿 机 的 所 有 权 也 不 明确 。 如 果 丑 了 比特 币 数据 火炉 用 于 取暖 ， 你 是 否 拥有 
挖 矿 所 获得 的 收入 呢 ” 还 是 出 售 设 备 的 公司 获取 这 部 分 收入 ”大 多 数 人 对 比特 
币 挖 矿 完全 不 感 兴 趣 一 一 有 可 能 永远 没 兴 趣 一 一 所 以 由 出 售 这 些 设备 的 公司 来 
获取 这 部 分 挖 矿 收 入 更 合理 。 这 也 就 意味 着 取暖 带 会 以 略微 忆 损 的 价格 出 售 。 
这 样 一 来 ,一些 有 创造 性 的 用 户 可 能 会 在 购买 了 这 些 取 暖 天 之 后 ， 对 设备 进行 
改造 以 使 得 他 们 自己 可 以 获取 这 部 分 挖 矿 收入 。 这 可 能 会 引发 令 人 难堪 的 数据 
所 有 权 管 理 之 争 。 


将 电力 转换 成 现金 

长 远 来 看 ， 比 特 币 产生 的 男 一 个 问题 是 : 它 可 以 最 有 效率 地 把 电力 转换 成 
现金 。 想 象 一 下 ， 如 果 比 特 币 ASIC 矿 机 是 一 个 很 容易 购买 到 的 商品 ， 并 且 主 要 
的 挖 矿 成 本 是 电力 ， 这 便 意味 着 ,提供 免费 的 或 低 成 本 的 电力 将 会 面临 被 滥 
的 风险 。 

在 很 多 国家 ， 政 府 都 有 用 电 补 贴 ， 特 别 是 对 工业 用 电 进 行 补贴 。 这 么 做 的 
原因 是 政府 布 望 吸引 工业 投资 留 在 本 国 。 但 是 由 于 比特 币 提 供 了 一 种 很 好 地 把 
电力 转换 为 现金 的 途径 ， 这 可 能 使 得 政府 要 重新 考虑 用 电 补 贴 的 模式 ， 以 防 它 
们 补贴 的 电力 全 部 被 转换 成 了 比特 币 。 政 府 用 电 补 贴 的 意图 是 ,希望 可 以 吸引 
那些 对 国家 经 济 和 人 民 就 业 有 帮助 的 企业 ， 但 是 补贴 比特 币 控 矿 也 许 并 不 能 对 
这 两 点 有 所 帮助 。 

更 大 的 问题 是 全 球 有 数 以 亿 计 的 “免费 ”插座 ， 分 布 在 家 、 学 校 、 酒 店 、 
机 场 以 及 办 公 大 楼 等 。 有 人 可 能 把 挖 矿 设 备 接 在 这 些 地 方 挖 矿 ， 因 为 别人 会 为 
此 支付 电费 。 事 实 上 ， 他 们 还 可 能 会 用 过 时 的 设备 而 压根 不 考虑 升级 ， 反 正 电 
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费 又 不 是 他 们 支付 。 在 全 世界 范围 内 监控 这 些 用 于 比特 币 挖 矿 的 “ 偷 电 ”行为 ， 
是 一 个 异常 肌 艰巨 的 任务 。 


5.4 矿 池 


设想 一 下 作为 单个 矿工 。 假设 你 花 了 辛 昔 赚 来 的 6 000 美元 买 了 一 台 全 新 闪 
亮 的 比特 币 矿 机 ， 你 所 期 望 的 性 能 是 平均 每 14 个 月 会 找到 一 个 有 效 区 块 (在 
2015 年 早期 一 个 区 块 的 奖励 价值 在 10 000 美元 ) 。 

考虑 到 电费 和 其 他 运营 成 本 ， 矿 机 的 平均 收入 期 望 值 应 该 是 每 个 月 400 美 
元 。 如 果 可 以 确定 每 个 月 都 能 获得 400 美元 ， 那 么 购买 一 台 矿 机 是 合理 的 投资 。 
但 是 别 忘 了 ， 挖 矿 是 一 个 随机 过 程 ， 你 不 知道 什么 时 候 可 以 发 现下 一 个 有 效 区 
块 。 在 找到 有 效 区 块 之 前 ， 什 么 都 赚 不 到 。 


高 方差 

从 矿工 第 一 年 能 找到 有 效 区 块 数 的 概率 分 布 上 看 ， 这 个 分 布 差异 是 很 大 的 ， 
期 望 值 (也 就 是 第 一 年 能 找到 区 块 的 平均 数 ) 是 相当 的 低 。 因 为 发 现 区 块 的 比 
率 是 一 个 很 低 的 固定 什 ， 并 且 这 个 值 和 你 上 次 发 现 一 个 有 效 区 块 所 花费 的 时 间 
完全 没有 关系 ， 因 而 总 的 发 现 区 块 的 期 望 值 是 以 柏 松 概率 分 布 山 。 柏 松 分 布 是 
指 ， 如 条 有 N 个 独立 事件 ， 每 个 事件 成 功 的 概率 是 MXMN， 当 N 接近 于 无 限 大 的 
时 候 的 成 功 概 率 分 布 。 比 特 币 控 矿 中 ， 答 试 每 一 个 临时 随机 数 的 行为 实际 上 就 
是 一 种 超 小 成 功 概率 事件 ， 所 以 即使 对 于 小 矿工 来 说 ，N 的 值 也 确实 很 大 ， 这 
种 近似 类 比 是 很 合适 的 。 

如 果 你 期 望 每 14 个 月 找到 一 个 有 效 区 块 (根据 泊 松 分 布 可 知 M=6/7 个 有 
效 区 块 /每 年 )， 则 有 超过 40% 的 概率 在 第 一 年 你 不 会 找到 任何 有 效 区 块 。 对 于 


了 柏 松 是 18 世纪 法 国 数学 家 ， 概 率 学 黄 基 人 之 一 ， 柏 松 分 布 被 广泛 用 于 各 个 领域 的 概率 分 析 . 一 一 
泽 者 注 
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个 体 矿工 来 说 ， 这 可 能 是 灾难 性 的 。 你 在 一 个 矿 机 上 花费 了 数 干 美元 ， 并 且 文 
付 了 很 多 电费 来 运行 ， 结 果 什 么 都 没有 获得 。 第 一 年 能 获取 一 个 有 效 区 块 奖励 
的 概率 大 概 是 36% ， 这 也 就 意味 着 即使 你 的 电费 不 高 ， 你 也 就 可 能 刚刚 够 文 付 
电费 。 当 然 也 有 很 小 的 概率 可 能 会 发 现 两 个 甚至 更 多 的 有 效 区 块 ， 这 种 情况 下 
才 有 可 能 真 的 赚钱 。 详 见 图 5. 11。 


14 个 月 一 年 内 可 以 发 现 可 能 性 概 
| 一 se 


42.4% 







生成 其 璐 


36.4% 
2 15.6% 
| 





发 现 第 一 个 有 效 区 块 的 时 间 


图 5.11 挖 矿 成 功 的 不 确定 性 
注 : 假设 全 网 哈 希 算 力 是 不 变 的， 平均 发 现 一 个 区 块 的 事件 是 14 个 月 ， 对 于 一 个 小 矿工 来 说 这 
个 成 功 概率 的 波动 太 大 了 。 


这 些 数字 只 是 一 个 近似 估算 ,但 主要 的 意思 是 ， 即 使 挖 矿 从 期 望 值 来 说 是 
合理 的 ， 也 束 是 说 ,投资 有 是 够 的 回报 ,但 由 于 方差 足够 大 以 至 于 会 有 很 大 的 
概率 什么 都 得 不 到 。 对 于 一 个 小 矿工 来 说 ,这 也 就 意味 着 挖 矿 就 是 一 个 赌博 
洲 戏 。 


矿 池 


历史 上 当 小 商人 遇 到 大 风险 的 时 候 ， 他 们 会 自发 组 建 一 个 互助 保险 公司 来 
降低 风险 。 比 如 ， 农 夫 会 自发 地 聚 在 一 起 形成 一 个 协议 ， 如 果 任 何 一 个 个 体 农 
夫 的 谷 仓 不 小 心 被 烧 掉 了 ， 那 么 其 他 的 农夫 可 以 把 他 们 的 利润 拿 来 和 这 个 不 幸 
的 农夫 分 圣 。 那 么 对 于 比特 币 的 小 矿工 是 否 也 可 以 用 类 似 的 方式 来 降低 风险 呢 ? 

人 矿 池 应 运 而 生 一 一 矿 池 就 是 一 个 比特 币 矿工 互相 之 间 的 保险 。 一 组 矿工 可 
以 形成 一 个 矿 池 共同 进行 挖 矿 ， 并 指定 一 个 币 基 接受 人 。 这 个 接受 人 就 是 矿 池 
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管理 员 。 所 以 不 管 是 谁 最 终 发 现 了 一 个 有 效 区 块 ， 矿 池 管 理 员 将 会 收 到 这 个 区 
块 的 奖励 ， 继 而 根据 每 个 参与 者 所 贡献 的 工作 量 按 比例 分 配给 所 有 矿 池 的 参与 
者 。 当 然 ， 矿 池 管 理 员 可 能 从 中 分 一 部 分 来 作为 矿 池 管理 服务 的 收入 。 

假定 每 个 人 都 信任 这 个 矿 池 管理 员 ， 这 样 的 分 配 安排 可 以 极 大 地 降低 矿工 
成 功 寻找 有 效 区 块 的 概率 波动 。 但 是 矿 池 管理 员 如 何 知道 矿 池 里 每 个 成 员 实 际 
上 到 底 贡 献 了 多 少 工 作 量 呢 ?同时 他 又 是 如 何 去 分 发 收入 的 呢 ? 很 显然 , 矿 池 
管理 员 不 希望 是 靠 每 个 成 员 的 申明 ， 因 为 他 们 可 能 会 虚报 日 己 的 工作 量 。 


挖 矿 工分 

对 于 这 个 问题 ,我们 有 一 个 简洁 的 解决 办 法 。 矿 工 可 以 通过 输出 挖 矿工 分 
(mining shares) 来 证 明 他 的 工作 量 ， 工 分 就 是 那些 接近 有 效 区 块 的 区 块 。 比 如 日 
标 值 是 个 前 面 67 位 是 零 的 数字 ， 输 出 的 哈 硕 值 必 须要 低 于 这 个 目标 才 算 有 效 。 在 
寻找 这 个 哈 硕 值 的 过 程 中 ,矿工 可 能 找到 其 他 一 些 区 块 ， 它 们 的 哈 硕 也 有 许多 堆 ， 
但 达 不 到 67 个 。 矿 工 可 以 用 这 些 区 块 来 证 明 他 们 确实 在 工作 〈 匈 图 5. 12) 一 个 
合格 的 工分 可 能 要 求 40 ~ 50 个 零 ， 取 决 于 矿工 所 加 入 的 矿 池 的 要 求 。 


9D1842A2A98DEDE34E00F6B8406AEDOCE11BDC906C6DB6E23BCD9DE35DC4C339 
86006DC06851F801FF0322E4CB92959DB619F19A03415BOC8FE131968005B9DA 
O00000000004D4120FD53C6CE8F013367209E905F4AE4D7837FFCFAA22B95CEDF 
60E9D45D86FA3AE285615A3972E9F85C68FEA07611830F49ED15EEE1460E83A4 
00000000007EF3D0D4479C9FB96FF100601618AD56BD240EF762B1B6842D1CF5 
44AEE951CD30363AOA750C81CDC4BCOD3427DACA1C878A489120EB92430866F7 
D048C51CA7EA5E6B61F6B40E739F9F35E2C653A37BE7Z7D3EA2474F5E7777C8790 
00000000000000001EB96F35E74E9BOF84BC921D52EDC878A754658F23313E86 
1289F7CFA4A86DEBB743D2B94AADOA916A9282FDCAO5B70E72C627FE5A592959 
561BBB9E8AAC2B1DDE1E163DA1E4F0O5BC1A9B1E92B0O4DCE834A6EB827C5E2E5B 
000000000082D602D87B67A42ED2BF763E92A76BE90F76A9CA71AB958EB7657A 
FD639DC38BB5279885FOFC42E7FD92D37ABD7FEAFD828CEDA2731CD781DC77D7 


图 5. 12 挖 矿工 分 
注 ; 矿工 不 靳 尝试 去 发 现 哈 希 值 低 于 日 标 区 域 的 有 效 区 块 ， 在 这 个 过 程 中 他 们 会 发 现 一 些 区 块 的 
天 数 值 比 目 标 值 少 了 几 个 0 一 一 但 是 已 经 是 非常 稀有 的 ， 这 证 明了 他 们 确实 在 进行 繁重 的 运算 
工作 。 在 这 个 图 中 ， 浅 色 阴 影 的 哈 希 值 就 代表 工分 ， 深 色 阴 影 部 分 是 有 效 区 块 的 哈 希 值 . 
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矿 池 管理 员 也 会 作为 参与 者 之 一 运行 比特 币 节 点 ， 收 集 交 易 并 组 次 区 块 。 
他 会 把 他 自己 的 接收 地 址 放 在 币 基 交易 里 ， 然 后 把 这 个 区 块 发 给 所 有 和 矿 池 里 的 
矿工 们 。 矿 工 们 收 到 后 会 在 这 块 上 面 开 始 挖 矿 ， 最 后 递交 工分 来 证 明 他 们 确实 
进行 了 运算 工作 。 

当 矿 池 一 个 成 员 找 到 了 一 个 有 效 区 块 ， 他 会 把 这 块 发 给 矿 池 管理 员 ， 然 后 
管理 员 会 根据 大 家 的 工作 量 按 比 例 分 配 奖励 。 发 现 这 个 有 效 区 块 的 矿工 并 不 会 
因此 获得 特别 奖励 ， 所 以 如 果 其 他 矿工 的 工作 量 更 大 ， 那 么 其 他 矿工 就 会 获得 
更 多 的 奖励 ， 即 使 他 们 并 不 是 真正 发 现 有 效 区 块 的 人 。 如 图 5. 13 





0 x O0000000000a877902e... 
0 x 000000000001e8709ce.. 0 x 00000000000000003f89... 
0 x 000000000001e8709ce... 0 x 00000000000007313f89... 0 x O0000000000045al611f... 


扒 久 (VD AAb 


图 5.13 挖 矿 奖励 
注 : 图 上 三 个 矿工 在 同一 区 块 上 挖 矿 。 他 们 最 后 的 奖励 是 根据 他 们 工作 量 的 大 小 来 决定 的 。 即 
使 是 右边 那个 矿工 找到 了 有 效 区 块 ， 但 左边 那个 获得 了 更 多 的 奖励 ， 因 为 他 的 工作 量 更 大 . 
找到 有 效 区 块 的 矿工 并 没有 收 到 特别 奖励 ， 





人 矿 池 管理 员 如 何 分 配 奖 励 的 方案 有 好 几 种 ,我 们 将 会 探讨 一 下 最 常见 也 是 
最 简单 的 两 种 ， 也 有 其 他 一 些 方案 被 不 同 的 矿 池 使 用 ， 但 这 两 种 基本 上 可 以 解 
释 奖 励 方案 之 间 的 权衡 选择 。 

工分 分 红 

在 这 个 模式 里 ， 管 理 员 会 对 每 一 个 超过 特定 区 块 难度 的 工分 发 放 固定 的 奖 
励 分 红 。 在 这 个 模式 里 ， 矿 工 在 发 送 工分 之 后 ， 管 理 员 马上 就 会 对 其 支付 奖励 ， 
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而 不 需要 等 到 整个 矿 池 发 现 一 个 有 效 区 块 。 

从 某 些 方面 来 说 ， 工 分 分 红 的 模式 对 矿工 是 最 有 利 的 ， 他 们 可 以 确保 每 次 
发 现 一 个 工分 的 时 候 都 有 一 定 的 收入 ， 而 管理 员 其 实 担 当 了 所 有 的 风险 ， 因 为 
无 论 矿 工 是 否 找到 有 效 区 块 ， 他 都 必须 按照 工分 文 付 奖励 。 当 然 ， 和 其 他 模式 
相 比 ， 因 为 风险 的 增加 ， 管 理 员 也 会 收取 更 局 的 管理 费用 。 

这 个 模式 的 问题 是 ， 矿 工 没有 动力 把 有 效 区 块 提交 给 管理 员 。 也 就 是 说 ， 
即使 把 有 效 区 块 丢弃 ,他们 也 会 得 到 同样 的 奖励 ， 但 对 整个 矿 池 来 说 是 个 巨 
大 的 损失 。 一 个 恶意 的 管理 员 可 以 作为 矿工 参与 男 外 一 个 矿 池 ， 用 这 个 方法 攻 
击 男 一 个 苋 争 对 手 ， 让 他 的 矿 池 无 法 维持 下 去 。 


按 实 际 比 列 分 红 
在 这 个 模式 里 ， 不 是 按照 工分 分 发 固定 分 红 ， 每 个 工分 所 能 得 到 的 分 红 ， 


取决 于 整个 矿 池 是 否 可 以 找到 一 个 有 效 区 块 。 每 次 找到 一 个 有 效 区 块 ， 区 块 奖 
励 (25 个 比特 币 再 加 上 交易 费 ) 会 按照 每 个 矿工 的 实际 工作 量 按 比 例 分 配 。 

在 这 个 模式 里 ， 矿 工 仍然 会 承担 与 矿 池 风险 成 一 定 比 例 的 风险 。 但 是 如 果 
矿 池 足够 大 ， 发 现 有 效 区 块 的 概率 波动 会 相当 低 。 按 实际 比例 分 配 的 模式 大 大 
降低 了 矿 池 管 理 员 的 风险 ,因为 只 有 矿 池 发 现 有 效 区 块 的 时 候 才 会 支付 矿工 奖 
励 。 这 也 解决 了 工分 分 红 模 式 的 问题 ， 矿 工 有 动力 把 有 效 区 块 提 交 给 管理 员 ， 
因为 只 有 那样 他 们 的 奖励 才 会 被 相应 发 放 。 

相 比 工分 分 红 模式 ， 这 个 模式 略微 增加 了 管理 员 的 工作 量 ， 他 要 校 验 、 计 
算 和 分配 奖励 。 


矿 池 跳 换 

即使 只 有 这 两 种 矿 池 运 营 模 式 ， 我 们 可 以 看 到 矿工 有 动力 去 时 不 时 地 进行 
矿 池 跳 换 (pool hopping) 。 比 如 ， 一 个 按 实际 比例 运行 的 矿 池 很 快 发 现 有 效 区 块 
时 ， 不管 有 效 区 块 被 发 现 的 间隔 是 多 久 ， 管 理 员 都 会 快速 支付 矿工 奖励 。 

一 个 聪明 的 矿工 可 能 壬 试 在 挖 矿 周期 的 早期 (也 就 是 上 一 个 区 块 刚刚 被 发 现 ) ， 
企 按 实际 比例 分 红 的 矿 池 中 挖 矿 ， 这 个 时 候 的 奖励 可 能 相对 比较 高 ， 然 后 只 在 周期 
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的 后 期 切换 (“ 跳 ” ) 到 一 个 工分 分 红 模 式 的 矿 池 ， 这 个 时 候 按 实际 比例 分 红 的 
矿 池 收益 可 能 相对 较 低 。 这 样 导 致 的 结果 就 是 按 比 例 分 配 的 矿 池 可 能 无 法 运行 。 
实际 上 更 加 复杂 的 方案 可 以 防止 这 种 矿工 行为 ， 比 如 “根据 最 近 N 个 工分 提交 的 结 
果 才 分 配 ” 是 比较 平常 的 做 法 ,但 即使 这 些 方案 也 有 可 能 诱发 矿工 跳 换 的 行为 。 如 
何 设计 一 个 矿 池 方 案 以 使 其 更 好 地 防止 这 种 行为 ， 仍 旧 是 一 个 有 符 解 决 的 问题 


历史 和 标准 化 

矿 池 兴起 于 2010 年 比特 币 的 GPU 时 代 ， 并 迅速 变 得 十 分 受 欢 迎 。 道 理 很 简 
dd 仇 池 已 经 发 展 得 十 分 先进 。 

经 有 很 多 人 矿 池 管理 协议 应 运 而 生 ， 其 至 有 人 建议 这 些 矿 池 管理 协议 应 六 该 被 标准 
ete ， 就 像 比特 币 的 点 对 点 网 络 协议 一 样 ， 这 些 矿 
浊 二 充 也 可 信子- 入 特 是 的 通信 应 用 程序 缚 逢 术 上 《Aiolan Biogiaaiing Iae 
face， 人 简称 API) ， 用 于 矿 池 管理 员 与 每 个 矿工 交流 分 派 工 作 和 矿工 们 递交 工分 给 
管理 员 。 获 取 有 效 区 块 模版 〈geltblocktemplate， 简 称 GBT) 就 作为 一 种 标准 化 的 
人 矿 池 协议 放 进 了 比特 币 改 进 方案 【( Bitcoin Improvement Proposal ， 简 称 BIP) 之 中 。 
一 种 被 称 为 层 (stratuam) 的 竞争 协议 ， 目 前 在 实际 中 运用 很 广泛 ， 就 是 一 份 BIP。 
不 像 比 特 币 本 身 的 协议 ， 从 事 存 在 多 个 互 不 兼容 的 矿 池 协 议 没 有 造成 太 多 的 不 便 。 
每 个 矿 池 可 以 选择 它们 况 欢 的 协议 ， 然 后 让 市 场 来 判定 就 优 熟 劣 。 

有 些 挖 矿 机 其 至 把 这 些 协定 放 进 了 便 件 ， 但 这 最 终 会 对 限制 这 些 矿 机 的 灵 


活性 有 所 限制 。 然 而 这 使 得 购 头 矿 机 加 入 矿 池 变 得 异常 简单 。 只 需要 把 矿 机 插 
上 电 并 连接 上 网 络 ， 选 择 一 个 矿 池 ， 然 后 这 个 矿 机 立刻 就 会 接受 该 矿 池 的 指令 


开始 挖 矿 ， 并 把 电力 消耗 转变 成 收益 


51% 的 矿 池 

2015 年 早期 的 时 候 ， 绝 大 部 分 矿工 都 通过 加 入 矿 池 来 控 矿 ， 只 有 很 少 的 人 矿 
工人 还 在 单独 挖 矿 。 而 在 2014 年 6 月， 网 络 里 最 大 的 矿 池 GHash. IO0 ， 曾 经 变 得 如 
此 巨大 ， 其 算 力 甚 至 超过 了 比特 币 全 网 算 力 的 50% 。 主 要 是 因为 这 个 矿 池 给 不 
工 优厚 的 奖励 ， 以 至 于 大 家 都 想 加 入 。 
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Other known 
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BitMinter— 
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BTC Guild 了 
Discus Fish 
图 5.14 (a) 矿 池 的 算 力 分 布 


资料 来 源 : blockchain. info (2014 年 6 月 ) 
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图 5.14 (b) 矿 池 的 算 力 分 布 
资料 来 源 : blockchain. info (2014 年 8 月 ) 
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Other known : ] 


F2Pool : 17 














Unknown : 20 


Bitcoin Affliate Network: 1 
Megabigpower : 1 
PPool: I 

Unknown with AntPool : 16 
1BwZeHJ Address : = 
KanoCK Pool : 1 
BitMinter : 1 
Eligius : 3 


GHash.IO:3 ~ 
BTC Guild :5 


KnCMiner: 6 BTCChina Pool : 8 


BW.COM : 13 


图 5.14 (c) 矿 池 的 算 力 分 布 
资料 来 源 : blockchain. info (2015 年 4 月) 


但 这 也 是 比特 币 社区 一 直 所 担心 的 ， 也 导致 了 对 GHash 的 反击 。 到 了 8 月 ， 
GHash 不 再 接受 新 用 户 而 主动 下 调 了 一 些 比例 。 即 便 如 此 ， 两 个 矿 凶 依然 营 控 
了 整个 网 络 一 半 左 右 的 算 力 。 

到 了 2015 年 4 月 ,形势 改变 了 许多 ， 至 少 op 
中 。 但 一 个 矿 池 掌控 51% 的 算 力 依然 是 社区 里 一 个 令 人 担忧 的 问题 。 然 而 
CHash 遭受 的 负面 的 公 IE 
过 大 。 随 着 新 的 矿工 加 入 市 场 ， 标 准 化 的 协议 使 得 矿 池 之 间 的 切换 更 加 容易 ， 
矿 池 的 市 场 份额 一 下 在 变动 。 丰 池 在 长 期 如 何 发展 ， 目 前 还 不 明明 。 

无 论 如 何 ， 矿 池 有 可 能 会 掩盖 这 样 一 个 事实 : 实际 上 的 算 力 集中 在 几 个 大 的 挖 
矿 机 构 手 上 ， 这 些 大 的 机 构 可 以 同时 参与 多 个 不 同 的 矿 池 以 掩盖 它们 的 真实 规模 。 
这 种 做 法 被 称 为 “ 洗 算 力 ”(laundering hashes ， 类 似 于 洗钱 ) 。 因 为 矿 池 的 原因 ， 发 
现 洗 算 力 变 得 非 沼 困难， 这 也 使 得 外 人 无 法 知晓 矿 机 的 实际 物理 控制 有 多 么 集中 。 


人 矿 池 是 有 益 的 吗 
在 池 的 好 处 在 于 矿工 控 矿 变 得 更 加 容易 预测 ， 也 让 小 矿工 更 加 容易 参与 。 
如 果 没 有 矿 池 的 存在 ， 挖 矿 效益 上 的 概率 波动 会 让 小 矿工 承受 不 起 。 
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矿 池 另 外 的 一 个 好 处 在 于 ， 每 一 个 矿 池 都 有 一 个 中 心 化 的 丰 池 管理 员 在 网 
络 中 组 装 区 块 ， 所 以 网 络 更 新 变 得 更 加 容易 。 只 要 更 新 管理 员 的 软件 ， 即 可 更 
新 所 有 矿 池 成 员 的 软件 。 

当然 矿 池 的 一 大 问题 是 中 心 化 管理 。 矿 池 管 理 员 实际 掌握 了 多 大 的 算 力 是 
一 个 问题 。 当 然 ， 理 论 上 一 个 矿工 如 采 和 觉得 管理 员 权 力 太 大 ， 可 以 上 且 由 地 选择 
离开 ,但 实际 中 有 多 少 矿 工会 这 样 做 还 不 清楚 。 

男 一 个 坏处 是 减少 了 比特 币 网 络 上 校 验 全 部 交易 市 点 的 数量 (全 市 点)。 以 
前 ， 无 论 大 小 ， 所 有 矿工 都 必须 自己 运行 一 个 全 厄 点 。 他 们 要 存储 整个 区 块 链 ， 
并 校 验 每 个 交易 。 现 在 他 们 把 这 项 工作 交 给 了 矿 池 省 理 员 。 这 也 是 我 们 在 第 3 
章 中 提 到 的 : 整个 网 络 中 进行 校 验 交 易 的 全 市 点 的 数目 在 下 降 。 

如 果 你 对 矿 池 的 中 心 化 模式 感到 不 安 的 话 ， 你 可 能 会 问 : 我 们 是 否 可 以 重 
新 设计 挖 矿 的 流程 ， 这 样 我 们 就 不 需要 任何 矿 池 ， 大 家 必须 自己 进行 挖 矿 。 我 
们 会 在 第 8 曹 中 探讨 这 个 问题 。 


s$.5S 控 矿 的 激励 和 策略 


我 们 在 这 一 曹 化 了 很 多 篇 幅 讨 论 作为 一 个 矿工 的 主要 挑战 :天 到 好 的 人 硬件 、 
找到 廉价 的 电费 ， 然 后 尽快 开始 运行 ， 然 后 期 得 一 些 好 运气 。 不 过 在 挑选 一 个 
区 块 开 挖 之 前 ， 每 个 矿工 午 需 要 做 一 些 策 略 上 的 选择 : 

1. 需要 包括 哪些 交易 ? 在 工 可 以 选择 将 哪些 交易 放 进 他 的 区 块 里 。 软 认 的 
规则 是 选择 那些 交易 费 比 较 高 的 交易 。 

2. 对 哪 一 个 区 块 进 行 按 矿 运算 ? 矿工 可 以 选择 在 哪个 区 块 上 进行 控 矿 。 默 
认 的 做 法 是 在 最 长 的 那 条 区 块 链 上 继续 挖 下 去 。 

3. 在 同一 高 度 的 多 个 区 块 中 做 选择 。 如 果 两 个 不 同 的 区 块 在 同一 时 间 被 宣 
布 发 现 ， 这 就 造成 了 一 个 区 块 的 分 又 ， 每 个 区 块 都 是 可 以 被 延续 下 去 的 ， 因 为 
它们 部 符合 最 长 区 块 链 原则 。 和 矿工 必须 选择 其 中 一 个 区 块 接龙 下 去 。 默 认 的 做 
法 十 选择 最 移 被 监听 到 的 那 一 个 区 块 。 
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4. 什么 时 候 宣布 新 的 区 块 ” 当 矿工 找到 一 个 有 效 区 块 之 后 ， 他 们 要 决定 什么 时 
候 向 比特 币 网 络 宣布 这 一 个 区 块 。 默 认 做 法 是 立刻 宣布 ， 但 他 们 也 可 以 选择 等 一 下 。 

矿工 其 实 面 临 很 多 决定 。 每 个 决定 都 有 一 个 默认 策略 ， 直 到 这 本 书 撰写 之 时 ， 
绝 大 多 数 的 比特 币 客户 端 都 是 按照 该 默认 策略 运行 的 。 非 默认 条 上 略 也 有 可 能 使 得 
控 矿 收益 更 高 ， 很 多 人 积极 研究 如 何 找到 这 样 的 策略 。 让 我 们 来 看 看 几 种 可 能 
别 于 默认 策略 的 做 法 ,这些 做 法 可 能 使 得 控 矿 收益 更 高 。 在 接 下 来 的 内 容 中 ,我 
们 假设 一 个 运行 非 默认 策略 的 矿工 掌控 一 定 的 比特 币 网 络 控 据 市 场 份额 ， 设 为 a 


分 又 攻击 

最 简单 的 攻击 就 是 分 又 攻击 (forking attack )， 这 是 一 个 显 而 匈 见 的 获 利 方 
式 一 一 重复 支付 。 一 个 恶意 的 矿工 给 一 个 受害 者 鲍 勃 发 送 了 一 些 比 特 币 来 购买 
其 服务 和 货品 。 鲍 勃 等 到 这 笔 支 付 交 易 被 放 进 了 最 长 链 之 后 ， 甚 至 还 等 到 了 6 
个 证 实 的 时 候 确 认 支 付 安全 之 后 ， 才 开始 发 货 或 者 提供 服务 。 

现在 这 个 矿工 开始 跳 到 前 一 个 区 块 上 开始 重新 挖 矿 一 一 就 是 在 那个 包含 他 
给 鲍 勃 的 支付 交易 区 块 之 前 的 那 一 块 。 在 这 个 分 叉 的 区 块 链 里 ， 他 搬 进 了 另 一 
个 替代 交易 一 一 或 者 进行 一 个 双重 支付 一 一 把 那些 已 经 支付 给 鲍 却 的 比特 币 重 
新 发 送 回 自己 的 地 址 里 ( 见 图 5. 15)， 








去 

蕊 
Eq 
中 


图 5.15 分 叉 攻 击 
注 : 一 个 恶意 的 矿工 给 受害 者 鲍 勃 发 送 了 一 些 比特 币 来 购买 其 服务 和 货品 。 然 后 这 个 矿工 进行 
7 一 个 分 又 攻击 ， 创 建 了 一 个 包含 冲突 交易 的 更 长 的 分 又 ， 在 新 的 共识 链 中 给 鲍 勃 的 支付 
就 变 成 了 无 效 的 交易 


一 -了 
一 
bu 
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想 要 这 个 攻击 成 功 ， 被 分 又 的 区 块 链 必 须要 覆盖 当前 最 长 的 一 条 链 ， 

这 个 情况 发 生 ， A ee 个 矿 
工 掌握 占 优势 的 哈 希 算 力 的 话 ， 也 就 是 说 a > 0.5， 这 种 攻击 就 会 成 功 。 也 串 
是 说 ， 即 使 有 大 量 的 随机 变数 ， 这 个 分 叉 最 终 会 变 成 最 长 的 一 条 链 ， 也 就 是 正 
当 有 效 的 共识 链 。 甚 者 ， 因 为 这 些 币 已 经 被 用 过 了 〈 在 新 的 共识 链 上 ) ， 这 笔 文 
付 给 鲍 勃 的 交易 永远 不 可 能 再 回 到 区 块 链 上 了 

S$1% 是 必要 的 吗 ? 如 果 a > 0.5 的 话 ， 发 动 一 个 分 义 攻击 是 很 有 可 能 发 生 
的 。 但 在 实际 中 ， 用 稍 低 的 算 力 也 可 以 发 动 一 个 那样 的 攻击 ， 因 为 有 类 似 于 网 
络 拥塞 之 类 的 其 他 因素 。 在 主 链 上 控 矿 的 其 他 矿工 会 因为 一 个 正 篆 的 原因 产生 
一 些 过 时 的 区 块 一 一 因为 有 网 络 延 时 。 pees pli 

这 个 延迟 ， 他 可 以 进行 更 快速 的 通信 并 且 生 成 更 少 的 过 时 区 块 ， 能 会 廊 省 
1% 甚至 更 多 的 算 力 。 

拥有 近乎 S0% 算 力 的 攻击 者 可 能 需要 花 很 长 时 间 才 可 能 成 功 ， 因 为 有 随机 
性 。 算 力 超过 50% 越 多 ， 攻 击 就 会 变 得 越 容易 也 越 有 效 。 人 们 经 党 讨论 51% 的 
攻击 ， 是 因为 51% 是 一 个 分 水 岭 ， 超 过 51% 的 时 候 分 义 攻击 就 会 成 为 可 能 。 实 
味 上 ， 这 种 攻击 的 成 功 概 率 是 呈 梯 度 变 化 的 。 

可 操作 的 对 第 。 我 们 不 清楚 分 丸 攻击 在 现实 中 是 否 一 定 成 功 。 因 为 大 家 可 
以 觉察 到 这 个 攻击 ， 社 区 可 以 对 此 做 出 决定 ， 即 使 分 又 链 更 长 也 可 以 拒绝 接受 . 

攻击 和 币值 (exchange rate) 。 更 加 重要 的 是 ， 这 种 攻击 可 以 摧毁 大 家 对 比 
特 币 的 信心 ， 比 特 币 的 拥有 者 们 就 想 要 把 资产 转移 出 去 ， 以 至 于 比特 币 价 格 崩 
法 。 因 此 ， 虽 然 一 个 具有 5$1% 算 力 的 攻击 者 可 能 会 在 短期 内 利用 双重 文 付 进 行 
欺骗 并 获得 额外 的 收益 ,但 是 从 长 期 来 看 ， 其 实 他 们 这 么 做 造成 的 损失 可 能 
更 大 。 

所 以 发 动 这 种 攻击 的 人 其 实 是 想 通 过 打击 信心 来 摧毁 比特 币 。 有 点 类 似 于 
孝 德 电影 里 的 反派 想 要 对 诺 克 斯 堡 里 的 所 有 的 黄金 进行 辐射 污染 ， 使 其 变 得 没 
有 价值 一 样 ， 这 类 攻击 被 称 为 金 手指 攻击 (Goldfinger attack ) 。 这 种 攻击 者 的 目 
的 可 能 就 是 挫 毁 整个 货币 ， 可 能 是 由 于 他 可 以 通过 要 么 做 比特 币 空头 交易 ， 要 
么 拥有 大 量 的 竞争 货币 而 获 益 
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通过 贿赂 来 进行 分 叉 攻 击 

通过 购买 足够 多 的 矿 机 来 控制 大 部 分 的 算 力 ， 是 一 件 非 常 困 难 而 且 昂 贯 的 
任务 。 但 可 能 还 是 会 存在 其 他 简单 的 方法 来 进行 分 又 攻击 : 相 比 直接 购买 算 力 
以 获取 超越 所 有 其 他 人 算 力 的 昂贵 做 法 ， 贿 赂 那些 有 能 力 的 矿工 来 为 你 来 工作 
也 是 可 能 的 。 

有 几 种 贿赂 其 他 矿工 的 方法 。 其 中 一 个 方法 是 “系统 外 的 ”(out of 
可 能 找到 一 些 矿 工 然后 直接 用 现金 来 贿赂 他 们 。 当 然 一 个 更 加 聪明 的 
办 法 是 创建 一 个 新 的 矿 池 ， 然 后 提供 更 好 的 奖励 来 吸引 其 他 矿工 来 加 入 ， 即 使 
矿 池 运行 可 能 因此 而 亏损 。 虽然 这 种 奖励 不 可 能 长 期 维持 下 去 ,但 是 可 以 维持 
足够 长 的 一 段 时 间 直 到 可 以 发 动 一 个 成 功 的 分 叉 攻 击 ， 然 后 获 利 。 还 有 一 种 方 
法 是 在 你 的 分 又 区 块 链 里 留 下 足够 多 的 “小 费 " ， 多 到 足以 让 其 他 矿工 离开 最 长 
链 来 加 入 你 的 分 链 ， 矿工 们 希望 你 的 链 成 为 最 长 的 链 ， 这 样 一 来 他 们 可 以 收取 
你 留 下 的 小 费 。 

不 管 是 哪 种 贿赂 的 方式 ， 核 心思 路 都 是 一 样 的 : 有 别 于 直接 获得 大 量 算 力 ， 
攻击 者 去 贿赂 那些 已 经 拥有 算 力 的 人 ， 让 他 们 帮助 自己 分 又 出 男 外 一 条 最 长 的 
区 块 链 ， 

可 能 矿工 们 并 不 愿意 去 帮助 一 个 攻击 者 ， 因 为 这 么 做 会 危害 整个 货币 的 价 
值 ， 而 他 们 已 经 在 此 之 上 投入 了 相当 多 的 资金 和 矿 机 。 从 另 一 方面 看 ， 虽 然 矿 
[ 们 作为 一 个 整体 可 能 希望 保持 货币 的 价值 ， 但 是 他 们 可 能 做 不 到 一 致 行动 。 
个 别 矿工 可 能 会 因为 短期 利益 ,将 个 人 利益 置 于 集体 利益 之 上 。 从 经 济 学 的 角 
度 来 看 ， 那 就 是 个 经 典 的 “ 公 地 悲剧 ”了 。 

这 些 假想 在 现实 中 未 曾 发 生 ， 贿赂 攻击 是 否 可 行 ， 这 依旧 是 一 个 悬而未决 
的 问题 。 





band ) 


临时 保留 区 块 攻击 
假设 找到 一 个 区 块 之 后 ， 默 认 的 做 法 是 你 会 立刻 向 全 网 宣布 找到 的 区 块 。 
但 是 如 果 你 想 进行 一 个 临时 保留 区 块 攻击 (temporary block-withholding attacks ) ， 
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你 也 可 以 不 立刻 宣布 ， 然 后 在 这 块 上 面 继续 控 矿 ， 期 望 你 可 以 在 其 他 矿工 找到 
下 一 个 区 块 之 前 连续 找到 两 个 有 效 区 块 ， 在 整个 过 程 中 秘密 地 保留 你 所 发 现 的 
区 块 。 

如 果 你 已 经 拥有 两 个 公共 区 块 链 上 超前 的 秘密 区 块 ， 那 么 全 网 剩 下 的 矿工 
所 做 的 挖 矿 努 力 都 会 被 浪费 ， 其 他 的 矿工 都 会 在 他 们 认为 最 长 的 链 上 继续 挖 矿 ， 
一 旦 他 们 宣布 他 们 找到 了 一 个 有 效 区 块 ， 你 可 以 立刻 宣布 你 所 秘密 保留 的 两 个 
区 块 ， 这 样 你 的 区 块 链 立刻 变 成 了 最 长 的 有 效 链 ， 而 其 他 人 辛 盏 挖 出 来 的 区 块 
马上 就 变 成 了 一 个 孤 块 而 被 丢弃 ( 见 图 5.16)， 你 的 这 种 行为 被 称 为 自私 挖 矿 
(selfish mining) 。 通 过 使 网 络 上 的 其 他 矿工 瀛 费 算 力 计 算出 来 的 区 块 瞬间 过 期 ， 
可 以 有 效 地 增加 你 的 挖 矿 获 利 . 








图 5.16 自私 挖 矿 图 示 
注 : 图 中 显示 了 其 中 一 种 攻击 方式 。(1) 攻击 之 前 的 区 块 链 。(2) 攻击 者 挖 到 的 区 块 ， 保 留 着 ， 
在 此 之 上 继续 挖 矿 。(3) 攻击 者 运气 很 好 ， 在 全 网 其 他 矿工 之 前 发 现 了 第 二 个 区 块 ， 并 继 
续 保留 (4) 非 攻击 者 找到 了 一 个 区 块 ， 并 进行 广播 。 攻击 者 立刻 广播 他 所 保留 的 两 个 区 
块 ， 使 得 区 块 4 变 成 了 孤岛 ,浪费 了 其 他 人 之 前 所 用 的 算 力 


这 里 面 的 关键 是 你 需要 运气 好 到 连续 发 现 两 个 区 块 ， 风 险 在 于 你 只 领先 了 
一 个 区 块 ， 其 他 人 就 已 经 同 网 络 宣布 发 现 了 一 个 有 效 区 块 。 如 采 这 种 情况 发 生 ， 
你 必须 立刻 宣布 你 的 秘密 区 块 ， 这 叫 造 成 了 一 个 区 块 的 分 又 ， 每 个 矿工 都 需要 
选择 哪 一 个 区 块 继 续 挖 下 去 。 当 然 ， 你 希望 大 部 分 其 他 矿工 最 早 监 听 到 你 的 区 
块 开 在 上 面 继续 挖 矿 。 由 于 这 种 攻击 的 有 效 性 严重 依赖 你 赢得 这 个 苋 赛 的 能 力 ， 
所 以 网 络 位 置 至 关 重 要 。 你 可 以 尝试 跟 所 有 的 节点 建立 链接 ， 以 使 得 你 的 区 块 
可 以 第 一 个 到 达 其 他 的 节点 。 
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假设 只 有 50% 的 机 会 可 以 赢得 这 个 竞赛 ,在 a >0.25 的 情况 下 ， 目 私 控 矿 
可 以 比 默 认 策略 更 有 收益 。 如 果 a >0.333， 即 使 你 输 掉 每 一 个 这 种 范 完 ,仍然 
可 以 获得 更 高 的 收益 。 这 种 攻击 的 存在 是 令 人 震惊 的 ， 原 来 大 家 部 相 信和 如 来 没 
有 很 大 的 算 力 一 一 比如 a 0.5 一 一 不 会 有 比 默认 策略 更 有 利 的 挖 矿 生 上 略 。 所 
以 、 即 使 某 个 矿工 控制 的 算 力 低 于 50% ， 也 是 有 可 能 通过 切换 到 其 他 的 控 矿 策 
上 略 来 获取 更 多 的 收益 。 

到 2015 年 为 止 ， 临 时 保留 区 块 攻击 仅仅 是 理论 上 的 ， 在 实际 中 并 没有 观察 
到 这 类 攻击 事件 ， 自 私 控 矿 则 很 容易 被 检测 到 ， 因 为 这 种 策略 会 增加 同时 宣布 
区 块 的 概率 。 





黑 名 单 与 惩罚 分 叉 攻 击 

如 果 一 个 矿工 想 把 一 个 来 自 地 址 X 的 交易 列 人 黑 名 单 ， 换 句 话 说， 他 想 冻 
结 从 该 地 址 出 来 的 钱 ， 让 这 些 钱 变 得 不 可 用 。 或 许 他 想 用 这 个 办 法 来 敲诈 勒索 
一 笔 钱 ， 或 许 他 们 之 间 有 仇 ， 还 有 可 能 是 政府 执法 部 门 认 为 那些 地 址 有 问题 ， 
需要 矿工 的 配合 来 冻结 这 些 币 。 

传统 观点 都 认为 在 比特 币 里 这 种 黑 名 单 没 有 办 法 有 效 施 行 。 因 为 即使 有 些 
矿工 会 拒绝 把 交易 放 进 区 块 链 里 ， 其 他 一 些 矿 工 可 能 会 。 如 果 你 真 的 想 把 一 笔 
交易 列 和 信 黑 名 单 ， 你 可 以 尝试 其 他 一 些 更 加 激烈 的 手段 ， 比 如 ， 惩 罚 分 又 〈pu- 
nitive forking) ， 你 可 以 宣布 拒绝 在 包含 来 自 该 地 址 的 交易 的 区 块 链 上 工作 。 如 果 
你 拥有 大 部 分 市 场 运算 能 力 ， 那 应 该 足以 保证 这 个 黑 名 单 上 的 交易 永远 不 会 被 
公布 。 确 实 ， 在 这 种 情况 下 ， 其 他 矿工 很 有 可 能 不 会 再 试图 把 这 笔 交 易 放 人 区 
块 链 里 ， 因 为 这 么 做 有 可 能 使 得 他 们 上 自己 的 区 块 链 被 分 又 ， 这 会 导致 他 们 发 现 
的 区 块 被 删除 。 


汐 量 级 分 叉 

如 果 没 有 很 大 的 算 力 ， 上 述 的 几 个 分 叉 攻 击 在 现实 中 都 不 太 可 能 实现 。 如 
果 你 宣布 拒绝 接受 包含 某 些 特定 交易 的 区 块 链 ,但 这 条 链 被 网 络 上 的 其 他 矿工 
有 所 接受 并 形成 最 长 链 的 话 ， 你 就 会 发 现 自 己 被 永远 排除 在 共识 链 之 外 (这 就 是 
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一 个 硬 分 又 ) ， 所 有 你 做 的 控 矿 工作 统统 浪费 了 。 更 加 糟糕 的 是 ， 墨 名单 上 的 区 
易 仍然 存在 于 最 长 的 区 块 链 上 ， 
换 句 话说 ， 考 虑 到 还 有 其 他 矿工 的 存在 ， 用 鼻 罚 分 义 把 特定 交易 放 入 趟 名 


单 的 手段 并 不 可 靠 。 然而， 有 男 一 个 更 明智 的 方法 可 以 做 到 这 一 点 。 与 其 一 看 
到 从 地 址 X 里 出 来 的 交易 就 宣布 你 会 进行 永久 分 又 ,不 如 宣布 你 将 会 尝试 分 义 ， 


但 过 一 段 时 间 你 可 能 会 放弃 封杀 的 尝试 。 例如， 你 可 以 宣布 当 k 个 区 块 证 实 
了 从 这 个 地 址 出 来 的 交易 是 正当 的 时 候 ， 你 便 会 回 到 最 长 链 " 

如 果 你 在 一 个 区 块 证 实 后 便 放 弃 ， 把 那 笔 人 地址 X 出 来 的 交易 成 功 封 杀 的 
概率 是 oa”。 原 因 是 你 必须 要 在 其 他 矿工 找到 下 一 个 区 块 之 前 找到 连续 两 个 区 块 ， 
这 样 才能 成 功 地 丢弃 那个 包括 地 址 X 交易 的 区 块 。aw 是 你 连续 找到 两 个 区 块 的 
概率 。 

a 这 个 概率 看 上 去 不 是 很 好 。 就 算 你 掌控 了 20% 的 全 网 算 力 ,也 只 有 4% 
的 成 功 概 率 来 封杀 那 笔 你 不 布 望 出 现在 区 块 链 上 的 交易 。 但 这 已 经 不 错 了 ， 至 
少 你 还 有 可 能 说 动 其 他 矿工 来 加 入 你 。 只 要 你 把 你 的 计划 公开 了 ， 其 他 矿工 便 
会 知道 : 如 果 他 们 胆敢 把 这 个 来 自 地 址 X 的 交易 加 入 自己 的 区 块 ， 便 有 oz 的 可 
能 会 丧失 日 己 已 经 发 现 的 区 块 [被 你 的 羽 量 级 分 义 攻 击 (feather forking) 所 消 
灭 ]。 只 要 他 们 不 是 有 很 强 的 主观 意愿 把 这 个 交易 包括 进来 并 且 这 个 交易 没有 很 


高 的 交易 费 ， 他 们 可 能 更 愿意 规避 那 w 失掉 过 往 挖 矿 奖励 的 风险 ， 而 不 是 获取 
那 笔 交 易 费 ， 


这 就 演化 为 ， 其 他 控 矿 者 经 过 理性 的 思考 ， 将 决定 加 入 你 对 X 地 址 的 封杀 
行动 ， 这 样 你 便 可 以 成 功 地 封杀 X 即使 a <0.5。 所 以 这 个 攻击 要 想 成 功 ， 重 点 
在 于 确保 其 他 矿工 相信 你 将 会 进行 分 义 攻击 。 


逐 源 转 移 到 用 交易 费 来 奖励 挖 矿 
直到 2015 年 ， 交 易 费 还 不 是 那么 重要 ， 因 为 区 块 奖励 在 矿工 总 收入 里 占 比 
超过 99% 。 但 每 4 年， 区 块 奖励 就 会 被 减 半 ， 最 终 区 块 奖励 将 会 变 得 很 低 ， 低 


D 给 自己 留 条 后 路 ， 见 机 行事 。 一 一 译 者 注 
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到 交易 费 变 成 了 矿工 的 主要 收入 来 源 。 届 时 矿工 会 如 何 应 对 还 属 未 知 。 他 们 会 
不 会 更 加 激进 地 要 求实 行 最 低 交易 费 ” 矿 工会 不 会 联合 起 来 逼迫 比特 币 网 络 实 
行 最 低 交 易 费 制度 ? 


未 解 的 问题 

总 结 来 说 ， 理 论 上 矿工 可 以 自由 地 选择 挖 矿 的 策略 ,但 在 实际 中 我 们 观察 
到 的 是 大 部 分 矿工 都 选择 了 默认 策略 来 控 矿 ， 虽 然 没 有 完整 的 模型 可 以 证 明 默 
认 策 略 (default strategy) 就 是 最 佳 的。 在 本 章 中 ,我 们 讨论 过 几 个 特定 案例 ， 
有 大 量 算 力 的 矿工 有 可 能 执行 非 默认 策略 来 获取 更 大 的 收益 。 在 控 矿 策略 上 ， 
实践 是 领先 于 理论 的 。 在 实践 中 ,大 多 数 矿 工 还 是 选择 了 默认 策略 ， 而 且 比特 
币 运行 得 也 很 好 。 但 是 ， 从 理论 上 ， 我 们 还 无 法 论证 这 是 一 个 稳定 的 机 制 。 

默认 策略 能 否 在 实际 运行 中 一 直 保 持 有 效 ， 对 于 这 一 点 我 们 也 没有 把 握 。 
比特 币 运行 所 依赖 的 现实 条 件 也 一 直 在 改变 。 矿 工 们 变 得 越 来 越 中 心 化 和 专业 
化 ， 整 个 系统 的 算 力 也 越 来 越 大 。 另 外 ， 从 长 期 来 看 ， 比 特 币 的 奖励 将 从 固定 
的 控 矿 奖励 为 主 转变 为 交易 费 为 主 。 我 们 真 的 不 知道 这 将 会 如 何 演变 ， 基 于 博 
弈 理论 对 此 进行 预测 也 是 一 个 非常 有 趣 的 前 沿 研究 领域 。 
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比特 币 是 一 种 安全 并 且 匿 名 的 数字 货币 。 
一 一 维基 解密 捐款 页 面 
比特 币 并 不 会 帮 你 躲避 国家 安全 局 的 秽 探 。 
一 一 英国 有 线 


比特 币 最 有 争议 性 的 一 个 特性 ， 就 是 匿名 性 。 首先， 比特 币 是 匿名 的 吗 ? 
从 上 述 两 种 完全 相反 的 论调 可 以 看 到 ， 人 们 对 比特 币 匿名 性 存在 理解 上 的 困惑 。 
其 次 ， 我 们 需要 加 密 数 字 货 币 (crypto-currency) 做 到 完全 匿名 吗 ? 匿名 性 有 好 
的 地 方 ， 也 有 不 好 的 地 方 ， 进 而 引申 出 一 些 基 本 的 问题 : 加 密 数 字 货 币 的 匿名 
性 对 持 有 者 有 益处 吗 ? 对 社会 有 没有 好 处 呢 ? 有 没有 一 种 方法 ， 可 以 让 匿名 性 
只 发 挥 积极 正面 的 作用 ， 而 不 用 担心 它 的 负面 作用 呢 ? 

这 些 问 题 很 难 回答 ， 因 为 它们 取决 于 人 的 道德 价值 观 。 本 章 中 ， 我们 并 不 
会 回答 这 些 问题 ， 即 使 我 们 仍然 会 探讨 匿名 性 的 优 劣 。 我 们 将 主要 研究 探讨 各 
种 技术 特性 ， 其 中 有 一 些 已 经 是 比特 币 所 具备 的 ， 还 有 一 些 是 为 增强 比特 币 的 
匿名 性 ， 而 建议 比特 币 应 该 添加 的 技术 特性 。 我 们 也 会 对 其 他 一 些 具备 不 同 匿 
名 技术 特性 的 加 密 数 字 赁 币 进 行 研 究 。 这 些 技术 也 会 带 来 新 的 问题 ， 比 如 它们 
能 在 比特 币 或 者 其 他 加 密 数 字 货 币 中 正常 工作 吗 ? 接受 这 些 特 性 有 多 困难 ? 接 
受 这 些 特性 需要 对 现 有 的 技术 功能 做 出 哪些 取舍 ? 
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6.1 医 和 名 的 基础 知识 


匿名 的 定义 
在 讨论 比特 币 是 否 具备 匿名 性 之 前 ， 我 们 需要 对 医 名 做 一 个 定义 。 我 们 需 
要 准确 地 理解 到 底 什么 是 匿名 ， 以 及 它 与 其 他 一 些 相似 术语 的 关系 ， 比 如 隐私 。 





看 泌 匿 名 和 化 名 (pseudonymity ) 


在 其 他 你 可 能 更 熟悉 的 情形 下 ， 说 明 匿 名 和 单纯 的 化 名 的 区 别 可 能 更 容 
易 。 其 中 一 个 很 好 的 例子 就 是 在 线 论坛 ， 在 一 个 类 似 于 红 迪 ( Reddit， 美 社交 
新 闻 网 站 ) 的 论坛 中 ， 你 会 选择 一 个 自己 常用 的 化 名 在 一 段 时 间 内 和 系统 进 
行 交 互 。 你 也 可 以 创建 多 个 化 名 ， 甚 至 每 一 条 评论 都 用 一 个 新 的 名 字 ， 但 那 

会 很 麻烦 ， 绝 大 多 数 人 都 不 会 这 样 做 。 所 以 在 红 迪 这 样 的 论坛 蜂 ， 用 户 通 
常 都 会 使 用 化 名 ， 但 又 不 是 完全 匿名 。 相 反 ， 在 4Chan (综合 型 讨论 区 ) 这 
种 在 线 论坛 里 ， 用 户 通 常用 匿名 来 发 帖 ， 并 且 不 市 有 任何 标识 性 属性 。 


从 字面 上 理解 ， 匿 名 的 意思 是 “没有 名 字 ”。 当 我 们 尝试 用 这 个 定义 来 说 明 
比特 币 的 匿名 特征 时 ， 会 有 两 种 不 同 的 诠释 : 在 交易 的 时 候 不 使 用 真实 的 姓名 ， 
或 者 在 交易 的 时 候 完全 不 使 用 任何 名 字 。 比 特 币 是 否 具备 莫名 性 ， 这 两 种 释义 
会 带 来 两 种 完全 不 同 的 结论 。 比 特 币 的 地 址 是 公 钥 蛤 希 值 ( hashes of publick- 
eys) ， 在 与 比特 币 系统 交互 过 程 中 ， 使 用 者 不 需要 使 用 真实 的 姓名 ， 但 是 需要 
使 用 公 钥 哈 希 值 来 作为 交易 标识 。 因 此 ， 按 照 第 一 种 对 匿名 的 释义 ， 比 特 币 是 
具有 匿名 性 的 ， 因 为 使 用 者 不 需要 使 用 真实 的 姓名 。 然而， 如 果 根 据 第 二 种 释 
义 ， 比 特 币 并 不 具备 匿名 性 ， 因 为 交易 中 必须 使 用 的 地 址 是 一 种 虚假 标识 。 在 
计算 机 科学 语言 中 ， 这 种 不 用 真实 姓名 而 使 用 一 种 特定 标识 的 折 中 做 法 被 称 为 
化 名 。 
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你 可 以 根据 你 的 需要 ， 随 意 创建 出 任意 多 个 比特 币 地 址 ， 考 虑 到 这 一 点 ， 
你 可 能 会 思考 比特 币 的 地 址 是 否 真 的 是 虚假 标识 ， 因 为 你 可 以 创建 无 穷 多 的 化 
名 ， 正 如 我 们 将 会 看 到 的 ， 这 并 不 能 让 比特 币 具备 匿名 性 。 

在 计算 机 科学 中 ， 匿 名 指 的 是 具有 无 关联 性 (unlinkability) 的 化 名 ， 无 关 
联 性 是 一 种 针对 特定 攻击 者 的 能 力 而 定义 的 属性 ， 从 直观 的 意思 看 ， 无 关联 性 
意味 着 如 果 一 个 用 户 和 系统 重复 进行 交互 ， 从 特定 攻击 者 的 角度 考虑 ,不同 的 
交互 行为 之 间 应 该 无 法 互相 关联 。 

比特 币 是 具备 化 名 性 的 ， 但 如 果 你 的 目的 是 要 求 绝 对 隐私 ,那么 这 种 匿名 
性 还 不 够 。 区 块 链 技 术 是 一 种 公开 的 账本 系统 ， 任 何人 都 可 以 查询 包含 了 给 定 
地 址 的 所 有 比特 币 交 易 ， 如 果 有 人 可 以 用 你 的 比特 币 地 址 链接 到 你 的 真实 身份 ， 
那么 所 有 你 的 比特 币 交 易 记 录 一 一 不 管 是 过 去 的 、 现 在 的 ， 还 是 未 来 的 一 一 都 
能 关联 到 你 的 真实 身份 ， 

更 加 糟糕 的 是 ， 把 比特 币 地 址 和 真实 映 份 链接 起 来 并 不 困难 。 如 果 你 跟 某 一 
种 比特 币 业 务 有 关联 不 管 是 一 个 在 线 电子 钱包 服务 ， 还 是 其 他 接受 比特 币 的 
商家 或 交易 所 ， 通 常 你 都 需要 提供 你 的 真实 身份 以 完成 相关 交易 。 比 如 ， 交 易 中 
通常 都 需要 你 提供 信用 卡 信 息 ， 或 者 商家 需要 你 提供 真实 地 址 以 便 送 扫 上 门 。 

或 者 你 去 咖啡 馆 喝 杯 咖 啡 ， 然 后 用 比特 币 来 支付 。 由 于 你 已 经 出 现在 店铺 
里 ， 咖 啡 师 对 你 的 身份 特征 已 经 有 了 非常 多 的 了 解 ， 即 使 他 们 没 问 你 的 真实 姓 
名 。 你 的 物理 标识 就 这 样 和 你 的 某 个 比特 币 交 易 联系 到 了 一 起 ， 从 而 可 以 由 这 
个 地 址 追踪 到 你 所 有 的 其 他 比特 币 交 易 。 这 显然 不 具备 匿名 性 。 








旁 路 攻击 ( side channels ) 

即使 没有 发 生 下 接 的 关联 ， 因 为 侧面 渠道 或 者 一 些 间 接 的 信息 泄露 ， 你 的 匿 
名 屿 份 也 可 能 会 被 暴露 (deanonymized ) 。 举 个 例子 ， 某 个 人 看 过 一 个 匿名 的 比特 
币 交 易 记 录 ， 并 且 注 意 到 了 这 个 比特 币 交 易 的 活跃 时 间 ， 那 么 他 就 可 以 将 这 个 时 
则 信息 与 其 他 公开 可 获得 的 信息 关联 到 一 起 。 可 能 他 会 注意 到 在 同一 个 时 间 某 一 
个 推 符 用 户 也 出 于 活跃 状态 ， 那么 就 可 以 建立 一 个 匿名 的 比特 币 资 料 和 一 个 真实 
世界 的 用 户 (至 少 是 一 个 推 特 账号 ) 之 间 的 关联 。 很 显然 ， 这 样 的 匿名 性 并 不 能 
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保障 隐私 或 者 绝对 匿名 。 要 想 做 到 绝对 匿名 ， 我 们 需要 更 强 的 无 关联 性 属性 。 


无 关联 性 

为 了 更 扎实 地 理解 比特 币 范 畴 中 的 无 关联 性 特征 ， 我 们 可 以 列举 一 些 在 比 
特 币 交 易 中 无 关联 性 所 需要 的 关键 属性 : 

1. 同一 个 用 户 的 不 同 地 址 应 该 不 易 关 联 。 

2. 同一 个 用 户 的 不 同 交 易 应 该 不 易 关 联 。 

3. 一 个 交易 的 交易 双方 应 该 不 易 关 联 。 

上 述 第 一 条 和 第 二 条 很 容易 理解 ， 但 第 三 条 比较 微妙 。 如 果 你 把 一 笔 “ 文 
付 ” 诠 释 成 一 个 比特 币 交 易 ， 那 么 第 三 条 属性 很 明显 就 是 一 个 伪 命 题 。 每 一 笔 
交易 都 有 输入 和 输出 ， 这 些 输入 和 输出 都 不 可 避免 地 会 记录 在 区 块 链 网 络 中 ， 
并 且 公 开 地 关联 在 一 起 。 然 而 ,我 们 所 指 的 支付 并 不 仅仅 是 一 笔 比特 币 交 易 ， 
而 是 指 任何 一 种 从 发 送 者 到 接收 者 的 传输 比特 币 的 行为 ， 这 种 行为 可 能 会 涉及 
一 系列 的 间接 迁 回 交易 。 我 们 需要 确保 ， 通 过 查询 区 块 链 上 的 信息 将 发 送 者 和 
最 终 的 接收 者 天 联 在 一 起 ， 是 不 可 行 的 。 


匿名 集 

即使 我 们 对 支付 做 出 更 加 宽泛 的 定义 ， 第 三 条 属性 看 起 来 也 比较 难以 实现 。 
比如 说 ， 你 支付 一 定数 量 的 比特 币 来 购 头 茶 个 商品 ， 并 且 通 过 迁 回 曲折 的 形式 
发 送 了 这 些 比 特 币 ， 其 他 人 通过 查看 区 块 链 上 的 信息 ， 还 是 可 以 推断 出 某 个 比 
特 币 地 址 上 减少 了 一 定数 量 的 比特 币 ， 市 为 外 一 个 地 址 上 增加 了 差不多 相同 数 
量 的 比特 币 ( 可 能 会 扣除 相应 的 交易 费用 )。 此 外 ， 尺 管 传输 是 通过 寺 回 曲折 的 
路 径 ， 初 始 发 送 方 发 送 比特 币 和 最 终 接收 方 接受 比特 币 基本 上 发 生 在 同一 个 时 
间 段 ， 因 为 商家 不 太 愿 意 接 受 延 迟 付款 。 

基于 这 样 的 困难 ， 我 们 通常 并 不 试图 在 系统 中 ， 对 所 有 可 能 的 交易 或 者 地 址 
部 实现 完全 的 无 关联 性 ， 而 是 去 实现 更 有 限度 的 无 关联 性 。 想 象 一 个 特定 的 攻击 
者 的 情况 ， 你 的 交易 匿名 集 (anonymity set) 是 指 该 攻击 者 无 法 把 你 的 交易 从 其 中 
分 辨 出 来 的 交易 集合 。 即 使 该 攻击 者 知道 你 完成 了 一 个 交易 ， 但 是 他 也 仅仅 知道 这 
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个 交易 是 某 一 个 合集 中 的 一 个 ， 但 并 不 能 确定 是 哪 一 个 。 我 们 只 需要 努力 去 最 大 化 
这 个 匿名 合集 就 可 以 了 一 一 在 这 个 合集 中 ， 我 们 可 以 隐藏 我 们 的 地 址 或 交易 。 

统计 匿名 集 是 很 微妙 的 ， 由 于 这 样 的 匿名 集 是 针对 某 一 个 或 者 一 组 攻击 者 
而 定义 的 ， 所 以 你 首先 需要 具体 定义 你 的 对 手 模型 是 怎样 的 。 你 必须 要 仔细 思 
考 对 手 已 知 和 未 知 的 内 容 ， 以 及 我 们 需要 隐藏 的 内 容 一 一 也 就 是 说 ， 如 果 要 达 
到 匿名 性 目标 ， 交 易 中 的 那些 信息 是 不 能 被 对 手 知道 的 。 没 有 成 熟 的 公式 告诉 
你 该 怎么 做 ， 需 要 根据 每 一 个 具体 情况 仔细 分 析 相 对 应 的 协议 和 系统 。 


污点 分 析 (taint analysis ) 

在 比特 币 社区 中 ， 人 们 通常 根据 直觉 推 凯 匿名 性 ， 而 非 严 格 的 定义 。 污点 
分 析 就 是 一 种 非常 流行 的 方式 : 这 是 一 种 推算 两 个 地 址 相关 性 的 方法 。 如 来 地 
址 S 发 送出 的 比特 币 总 是 地 址 R 接收 ， 那 么 不 管 是 直接 抵达 ， 还 是 经 过 了 多 少 
中 间 地 址 ，S 和 R 则 被 定义 为 具有 高 分 污点 。 污 点 分 析 的 计算 公式 ,适用 于 多 
个 输入 和 (或 ) 输出 的 交易 ， 并 且 确 定 如 何 分 配 污 点 的 规则 。 

遗憾 的 是 ,污点 分 析 也 不 是 一 个 衡量 比特 币 医 名 性 的 好 方法 。 它 只 是 简单 
地 认定 对 手 在 使 用 相同 的 计算 方式 在 关联 成 对 的 地 址 。 稍 微 聪 明 一 点 的 对 手 会 
使 用 不 同 的 技巧 ， 比 如 查询 交易 时 间 ， 或 者 本 草 后 面 我 们 会 讲 的 利用 钱包 软件 
的 特性 。 所 以 ， 污 点 分 析 可 能 只 会 显示 你 在 某 种 特定 情况 下 具备 的 匿名 性 ， 而 
事实 上 可 能 并 不 准确 。 


为 什么 需要 匿名 性 

了 解 了 匿名 性 意味 着 什么 之 后 ， 在 我 们 进入 更 深入 的 探讨 之 前 ， 让 我 们 来 
回答 一 下 有 关 匿 名 性 的 根本 问题 : 为 什么 人 们 需要 匿名 性 ?” 拥有 匿名 性 的 货 
有 哪些 伦理 道德 方面 的 意义 ? 

在 区 块 链 货币 中 ， 所 有 交易 都 被 记录 在 一 个 公共 账本 上 ， 也 就 是 说 ， 这 些 
记录 都 是 公开 的 ， 并 且 可 根据 相关 地 址 进行 永久 追踪 ， 因 此 ， 你 的 比特 币 交 易 
的 隐私 保护 可 能 会 比 传统 的 银行 更 糟糕 。 如 果 你 的 真实 身份 被 关联 到 一 个 比特 
币 地 址 ， 那 么 你 就 完全 失去 了 所 有 交易 的 隐私 一 一 不 管 是 过 去 的 、 现 在 的 ， 还 
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是 未 来 的 一 一 只 要 是 和 这 个 地 址 相关 联 的 交易 。 由 于 区 块 链 是 公开 可 用 的 ， 确 
切 地 说 ， 任 何人 都 有 可 能 在 你 不 知道 的 情况 下 识别 你 的 号 份 。 

考虑 到 这 一 点 ， 我 们 可 以 认定 两 种 不 同 的 需要 匿名 加 密 数 字 货 币 的 动机 : 
第 一 种 是 ， 达 到 我 们 习惯 的 传统 银行 给 我 们 的 隐私 保护 级 别 ， 降 低 公 共 区 块 链 
所 带 来 的 信息 暴露 风险 ; 第 二 种 是 ， 要 超越 传统 银行 给 我 们 的 隐私 保护 级 别 ， 
进一步 开发 数字 货币 ， 使 其 从 技术 上 实现 任何 人 不 能 轻易 追踪 参与 者 。 


匿名 性 的 道德 问题 

我 们 有 很 多 非常 重要 的 理由 (虽然 经 常 被 忽视 ) 需要 匿名 性 ， 传 统 赁 币 已 
经 让 我 们 对 这 种 匿名 性 习以为常 。 大 多 数 人 都 不 愿意 与 朋友 以 及 同事 分 享 他 们 
的 工资 收入 状况 ， 如 果 你 的 工资 是 用 区 块 链 比特 币 支付 的 ， 而 且 该 区 块 链 上 的 
地 址 很 容易 被 识别 ， 那 么 我 们 只 需要 关注 每 个 月 定期 的 大 额 文 付 记录 ， 就 能 很 
容易 地 推断 出 你 的 工资 情况 。 企 业 组 织 也 有 非常 重要 的 财务 隐私 顾虑 ， 例 如 ， 
一 家 电玩 游戏 生产 商 被 发 现在 区 块 链 上 支付 给 了 一 个 分 包 商 ， 而 这 个 分 包 商 是 
专门 生产 虚拟 现实 眼镜 的 ， 那 也 意味 着 它们 要 推出 的 新 游戏 可 能 会 被 公众 (也 
包括 其 竞争 对 手 ) 提前 知晓 。 

然而 ， 真 正 合 理 的 顾虑 是 ， 匿 名 加 密 数 字 货 币 可 以 被 用 作 洗 钱 或 者 从 事 其 
他 非法 活动 。 即 使 加 密 数 字 货 币 的 交易 本 身 可 能 是 匿名 的 ， 数 字 货 币 和 法 定货 
币 之 间 的 接口 却 无 法 做 到 匿名 ， 这 可 以 说 是 一 个 好 消息 。 事 实 上， 我 们 将 在 下 
一 个 章节 讨论 中 看 到 ， 这 些 数字 货币 和 法 定货 币 之 间 的 兑换 和 流动 被 严格 监管 
着 。 因 此 加 密 数 字 贷 币 也 不 是 洗钱 或 者 其 他 金融 犯罪 的 灵丹妙药 ， 

然后 有 人 可 能 会 问 : 我 们 是 否 可 以 设计 出 一 种 技术 ， 这 种 技术 只 人 允许 使 用 好 
的 诬 名 ， 而 茶 止 坏 的 匿名 呢 ? 事实 上 ， 计算机 安全 和 隐私 方面 的 研究 者 一 直 在 控 
条 这 个 问题 的 答案 ， 遗 憾 的 是 ， 从 来 就 没有 可 行 的 方案 ， 因 为 我 们 用 道德 标准 分 
辨 出 的 好 坏 ， 对 计算 机 技术 来 说 ， 是 没有 办 法 区 分 的 。 在 比特 币 系 统 中 ， 如 何 让 
人 矿工 按照 追 德 标准 去 判定 哪些 交易 应 该 被 发 布 到 区 块 链 中 ， 日 前 还 是 无 法 实现 的 。 

我 们 的 观点 是 ， 启 用 苞 名 加 密 数 字 货 币 是 有 潜在 好 处 的 ， 这 也 是 其 得 以 存 
在 的 原因 ， 同 时 ， 对 于 系统 的 技术 匿名 属性 和 在 使 用 货币 时 应 该 遵守 的 法 律 规 
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， 我 们 应 该 加 以 区 分 。 匿 名 加 密 数 字 货 币 并 不 是 一 个 完美 的 解决 方案 ， 但 可 
本 生机 六 水 让 


匿名 化 和 去 中 心 化 

在 本 章 中 ,我 们 会 看 到 很 多 次 有 关 医 名 化 和 去 中 心 化 的 讨论 ， 通 第 这 两 点 
是 相互 矛盾 甚至 冲突 的 。 回 忆 一 下 前 言 部 分 提 到 过 的 齐 姆 (Chaum) 的 电子 现 
金 系统 ， 它 在 一 定 意 义 上 实现 了 完美 的 匿名 性 ， 不 过 必须 依赖 一 个 中 央 权 威 机 
构 行 的 育 签 名 协议 。 设 想 一 人 下， 这样 的 协议 的 去 中 心 化 将 会 非常 困难 。 
如 果 我 们 强制 进行 去 中 心 化 ， 就 必须 要 有 一 种 能 够 退 踩 交易 并 且 防 止 双 重文 出 
的 机 制 。 交 易 的 这 种 公开 追踪 特性 ， 就 是 对 匿名 化 的 一 种 威胁 . 








人 Tor 


如 何 处 理 一 个 有 好 坏 两 面 性 的 技术 ， 比 特 币 并 不 是 唯一 一 个 面临 这 种 道 
德 上 两 难 选择 问题 的 技术 。 另 外 一 个 匿名 性 设 定 有 争议 的 系统 是 Tor， 一 个 匿 
名 通信 网络。 

一 方面 ，Tor 的 用 户 只 是 一 些 普 通 人 ， 想 保护 他 们 在 网 络 上 不 被 跟踪 。 其 
用 户 包括 记者 、 社 会 活动 家 和 持 不 同 政见 者 等 ， 他 们 追求 在 互联 网 上 的 言论 
自由 而 不 用 担心 政治 迫害 。 同 时 ， 执 法 部 门 的 探 员 也 使 用 这 个 系统 ， 监 控 在 
线 嫌 疑犯 ， 而 不 会 泄露 他 们 的 IP 地 址 (毕竟 ， 大 家 都 知道 IP 地 址 是 根据 不 同 
的 组 织 机 构 来 分 配 的 ， 包 插 执 法 部 门 )。 很 显然 ，Tor 有 很 多 应 用 场景 是 我 们 
从 道德 上 认可 的 。 男 一 方面 ， 它 也 还 有 一 些 不 好 的 应 用 场景 ， 有 人 用 其 运作 
僵尸 网 络 来 控制 一 些 被 感染 的 电脑 ， 进 而 用 来 传播 淫秽 等 非法 图 片 。 

要 想 从 技术 角度 去 区 分 这 些 使 用 场景 ， 基 本 上 是 不 可 能 的 。Tor 的 开发 者 
以 及 社区 一 直 在 尝试 解决 这 个 难题 ， 全 社会 也 在 努力 尝试 。 我 们 似乎 可 以 总 





1 The Onion Router， 洋 欧 路 由 ， 用 户 通 过 Tor 可 以 在 互联 网 上 进行 匿名 交流 译 者 注 
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结 一 下 ， 整 体 而 言 ， 这 样 的 技术 利 大 于 潍 ， 实 际 上 ，Tor 主要 的 投资 方 之 一 就 
是 美国 政府 ， 其 投资 兴趣 在 于 ，Tor 可 以 让 不 同 政见 者 在 互联 网 上 发 表 自 由 言 
论 ， 而 不 用 担心 政治 迫害 。 同 时 ， 执 法 部 门 也 勉强 接受 Tor 的 存在 ， 甚 至 还 开 
发 了 使 用 这 个 平台 的 方法 。FBI 也 经 常会 查封 一 些 在 “黑暗 网 络 ” 上 非法 传 
播 色情 图 片 的 网 站 ， 即 使 这 些 网 站 也 使 用 了 Tor 的 平台 ， 多 数 情 况 是 ， 这 些 网 
站 的 运营 者 被 绳 之 以 法 。 我 们 必须 要 记 住 ， 技 术 仅 仅 是 工具 ， 而 那些 犯罪 分 
子 生活 在 现实 世界 里 ， 并 可 能 留 下 各 种 犯罪 证 据 ， 或 者 在 使 用 这 些 工 具 的 时 
候 犯 一 些 人 为 错误 。 


在 本 章 6.5 节 中 ， 我们 会 探讨 零 币 (Zerocoin) 和 和 雪 钞 (Zerocash) ， 这 是 一 种 
匿名 化 并 且 去 中 心 化 的 加 密 数 字 贷 币 系 统 ， 有 点 类 似 于 乔 姆 的 电子 货币 (ecash)， 
但 是 因为 上 述 两 个 限制 ， 它 们 需要 找到 合适 的 方法 ， 以 解决 环 手 的 加 密 问 题 。 


6.2 如 何 对 比特 币 去 区 名 化 


我 们 已 经 强调 过 很 多 次 比特 币 仅 仅 是 一 个 化 名 系统 ， 所 以 你 所 有 的 交易 记 
录 或 者 交易 地 址 很 有 可 能 被 关联 在 一 起 。 让 我 们 再 进一步 讨论 这 种 关联 是 怎么 
发 生 的 。 

图 6. 1 展示 了 维基 解密 的 捐 球 页 面 上 的 一 个 片段 (包括 本 革 开 头 的 时 候 就 
引用 的 一 段 )， 请 注意 那个 在 比特 币 地 址 劳 边 的 刷新 按钮 。 可 能 你 会 期 望 通过 点 
击 这 个 刷新 按钮 ， 就 会 把 接收 捐 球 的 地 址 换 成 一 个 全 新 生成 的 地 址 。 类 似 地 ， 
如 果 你 刷新 页 面 或 者 关闭 这 个 页 面 ， 重 新 再 打开 的 时 候 ， 这 个 地 址 也 会 重新 生 
成 ， 而 且 是 之 前 没有 出 现 过 的 。 这 是 因为 ， 维 基 解 密 需 要 保 证 每 接收 一 笔 新 的 
捐 敌 ， 者 会 对 应 一 个 新 创设 的 仅 用 于 此 笔 捐 蒜 的 公 钥 。 维 基 解 密 这 么 做 就 是 最 
大 限度 地 利用 了 可 以 创建 新 化 名 功能 的 作用 。 这 事实 上 就 是 比特 币 钱包 实现 匿 
名 性 的 最 好 途径。 
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比特 币 是 一 个 安全 的 匿名 数字 货币 系统 ， 不 容易 被 追踪 ， 并 且 是 一 种 有 别 于 其 他 捐款 
方式 的 、 更 加 安全 和 快速 的 方法 。 你 可 以 发 送 比特 币 到 以 下 地 址 进行 捐款 : 






13DFamCvSxG8EG16VyXzdpfqxyooifswY x (2 





图 6.1 维基 解密 的 捐款 页 面 的 一 个 片段 
注 : 请 注意 那个 在 比特 币 地 址 劳 边 的 刷新 按钮 。 维 基 解 密 遵循 了 为 每 一 笔 捐 球 生 成 一 个 新 接收 
地 址 的 比特 币 匿 名 化 的 最 佳 实 践 。 


你 可 能 觉得 这 些 不 同 的 地 址 一 定 是 无 法 关联 的 ， 维 基 解 密 收 到 的 不 同 的 捐 
款 是 完全 分 开 的 ， 并 且 推 测 它们 可 以 分 开 使 用 每 一 笔 捐 蒜 ， 但 事实 并 非 如 此 。 


关联 性 (linking ) 

假设 爱丽 丝 想 要 去 头 一 个 茶 痰 ， 价 格 是 8 个 比特 币 (可 能 根据 2015 年 的 比 
特 币 价格 ,实际 情况 应 该 是 8 分 比特 币 ，1 个 = 100 分 )。 进 一 步 假 设 ， 她 的 比 
特 币 分 在 三 个 不 同 的 地 址 里 面 ,， 分别 有 3、5 和 6 个 比特 币 。 实 际 上 ， 爱 丽 丝 没 
有 一 个 比特 币 地 址 有 足够 的 8 个 比特 币 ， 她 必须 要 把 两 个 输出 合并 成 一 个 单 体 
输入 ， 以 文 付 给 店铺 。 


本 思 隐形 地 址 


假设 鲍 劲 要 通过 他 的 网 站 还 有 广告 牌 来 宣传 他 的 捐赠 地 址 。 现 在 还 没有 
任何 方式 可 以 将 一 个 不 同 的 地 址 显示 给 每 个 用 户 ， 必 然 地 ， 接 收 现场 捐款 的 
这 个 地 址 会 很 容易 连接 到 饱 勃 的 站 点 。 

能 够 利索 地 解决 这 个 问题 的 办 法 ， 是 利用 隐形 地 址 ( stealth addresses ) 。 
它 人 允许 收 件 人 鲍 勃 发 布 一 个 静态 “永久 ”的 地 址 ， 任 何 发 件 人 (比如 爱丽 
丝 ) 由 此 可 以 派生 出 新 的 地 址 ， 该 地 址 的 私 钥 只 有 鲍 勃 知道 。 

这 是 如 何 做 到 的 呢 ? 回忆 一 下 椭圆 曲线 数字 签名 算法 (ECDSA) 中 的 公 
钥 的 函数 形式 是 g.,， 其 中 的 x 是 私 钥 ， 地 址 函数 是 H (8g,)。 为 了 启用 隐形 地 
址 ， 鲍 动 需要 广告 公 钥 本 身 ， 而 不 是 长 度 更 短 的 哈 希 值 。 然 后 ， 爱 丽 丝 可 以 选 
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取 一 个 随机 数值 r, 计算 (g,) rzr=ge， 并 且 将 钱 汇 给 这 个 公 铀 。 如 果 爱 丽 丝 能 
够 单独 将 数值 r 发 送 给 鲍 勃 ， 鲍 勃 就 可 以 计算 出 正确 的 私 钥 xr， 将 汇 到 公民 
gw 的 钱 花 掉 。 

这 种 方法 并 不 完美 ， 因 为 爱丽 丝 需要 将 数值 r 发 送 给 鲍 勃 ， 而 且 还 假定 即 
使 鲍 勃 不 在 线 ， 比 特 币 交易 照样 运行 。 为 了 解决 这 个 问题 ， 还 有 更 复杂 的 协 
议 ， 让 爱丽 丝 能 够 有 效 地 将 数值 z 典 入 比特 币 交易 本 身 。 随 后 ， 鲍 勃 可 以 扫描 
区 块 链 ， 检 测 针对 他 的 交易 ， 并 恢复 私 钥 。 黑 上 暗 钱 包 中 使 用 了 这 种 方法 ， 该 
钱包 设计 时 旨 在 增强 隐私 ， 并 且 类 似 的 想法 在 加 密 签 名 ( CryptoNote) 这 种 另 
类 币 中 有 所 使 用 。 


那么 问题 来 了 了 ， 这 笔 交 易 会 在 区 块 链 网 络 里 有 一 个 永久 的 记录 ， 任 何 看 到 
这 个 记录 的 人 都 可 以 推 闲 ， 这 两 个 输入 型 交易 很 有 可 能 是 由 同一 个 用 户 控制 的 。 
换 句 话说 ， 共 至 型 消费 ， 成 为 不 同 输入 地 址 联合 控制 的 证 据 。 当 然 也 可 能 存在 
例外 ， 有 可 能 爱丽 丝 和 鲍 动 古 同 寝室 的 朋友 ， 决 定 一 起 联合 购买 这 个 茶 索 ， 并 
且 分 开 付 球 。 但 是 ， 大 体 来 说 ， 共 同 输入 基本 上 意味 着 共同 控制 。 





图 6.2 多 地 址 输入 交易 
注 : 为 了 支付 购买 茶壶 的 钱 ， 爱丽 丝 从 两 个 不 同 的 比特 币 地 址 创建 了 一 个 单一 交易 。 这 样 爱丽 
丝 就 暴露 了 一 个 事实 ， 即 一 个 个 体 控 制 了 两 个 不 同 的 地 址 。 


还 不 仅仅 如 此 ， 攻 击 者 可 以 重复 上 述 过 程 ， 从 而 一 步 一 步 将 这 个 个 体 所 进 
行 的 所 有 交易 关联 起 来 。 如 果 另 外 一 个 地 址 也 关联 到 了 爱丽 丝 用 于 交易 的 两 个 
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地 址 之 一 ， 那 我 们 就 知道 所 有 三 个 地 址 都 属于 同一 个 个 体 ， 我 们 可 以 因此 建立 
一 个 地 址 簇 (clustering of addresses) 。 一 般 来 说 ， 如 果 一 个 新 地 址 的 输出 ， 和 该 
地 址 得 中 的 任何 一 个 已 知 地 址 被 一 起 花费 ， 那 么 这 个 新 的 地 址 也 将 会 锌 加 到 该 
地 址 簇 中 去 。 

在 本 章 6.4 节 ， 我们 将 会 探讨 一 种 叫 合 币 (CoinJoin) 的 匿名 技术 ， 该 技术 
的 工作 原理 打破 了 上 述 设 想 。 但 是 到 目前 为 止 ， 对 没有 使 用 特别 匿名 技术 的 普 
通 比 特 币 钱包 用 户 ， 这 种 簇 技 术 还 是 非常 有 效 的 。 接 下 来 ， 我们 很 快 将 会 讨论 
如 何 把 这 种 地 址 簇 关联 到 现实 世界 的 喘 份 。 





(3 零钱 地 址 (change address) 的 随机 化 


早期 版 本 的 比特 币 类 库 | Bitcoin-Qt library ， 现 在 又 称 为 比特 币 中 心 ( Bit- 
coin Core) ] 存在 一 个 缺陷 ， 对 有 两 个 输出 地 址 的 交易 ， 它 总 把 存放 零钱 的 输 
出 地 址 放 在 第 一 个 ， 这 意味 着 很 容易 分 辨 出 很 多 交易 中 的 零钱 地 址 。 这 个 缺 
陷 在 2012 年 得 和 到 了 修复 ， 但 是 重点 在 于 : 钱包 软件 在 保护 匿名 性 中 扮演 着 非 
常 重要 的 角色 ， 如 果 你 正在 开发 钱包 软件 ， 你 需要 格外 注意 很 多 陷阱 ， 尤 其 
是 你 需要 保证 零钱 地 址 的 位 置 应 该 永远 是 随机 的 ， 以 避免 为 攻击 者 留 下 太 多 
信息 。 


再 回头 看 一 下 我 们 的 例子 假设 这 个 茶壶 的 价格 从 8 个 比特 币 上 涨 到 了 8. 5 
个 比特 币 ， 爱 丽 丝 发 现 ， 未 用 完 的 文 出 账号 里 无 法 再 组 合生 成 恰好 可 以 支付 这 
个 祭 赦 所 需要 的 金额 了 上， 取而代之 的 方案 是 ， 爱 丽 丝 利 用 交易 可 以 有 多 重 支 出 
的 特性 ， 如 图 6.3 所 示 ， 文 出 的 其 中 之 一 就 是 茶壶 店铺 的 接收 地 址 ， 而 另外 一 
个 则 是 爱丽 丝 目 己 的 “ 找 零 ”地 址 。 

现在 从 其 他 人 的 视角 来 看 这 笔 交 易 ， 他 们 可 以 推断 出 这 两 个 输入 地 址 都 属 
于 同一 个 用 户 ， 他 们 甚至 可 能 怀疑 其 中 一 个 支出 地 址 也 属于 这 个 用 户 ,但 是 无 
法 知道 具体 是 哪 一 个 。 事 实 上 0. 5 个 比特 币 虽 然 比 其 他 的 支出 小 ， 但 是 并 不 意 
味 看 这 是 一 个 零钱 地 址 ， 爱 丽 丝 可 能 有 10 000 个 比特 币 参 与 了 交易 ， 其 中 她 支 
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付 了 8.5 个 比特 币 用 于 购买 茶壶 ， 而 把 剩余 的 9 991. 5 个 比特 币 找 零 退 回 给 耳目 
己 。 在 这 样 的 场景 中 ， 更 大 的 输出 才 是 实际 上 的 找 零 地址 。 





图 6.3 零钱 地 址 
注 : 为 了 支付 购买 茶壶 的 钱 ， 爱 丽 丝 创建 了 一 个 交易 ， 这 个 交易 中 的 一 部 分 比特 币 去 了 商家 的 
钱包 ， 而 剩余 的 部 分 作为 零钱 退回 给 了 她 自己 。 


另外 一 种 更 好 的 解释 是 ， 如 果 和 茶壶 只 需要 人 花费 0.5 个 比特 币 ， 由 于 不 管 是 3 
个 比特 币 还 是 6 个 比特 币 的 输入 地 址 ， 都 足够 用 来 文 付 了 了， 爱丽 丝 根本 不 需要 
创建 两 个 不 同 输入 组 成 的 交易 。 但 是 ， 选 择 哪 种 交易 方式 完全 取决 于 通常 使 用 
的 钱包 软件 的 特性 ， 即 使 不 是 非常 有 必要 ， 钱 包 (或 者 是 用 户 ) 还 是 可 以 随意 
组 合 不 同 交易 地 址 中 的 比特 币 来 完成 支付 的 。 


惯用 法 则 

这 种 类 型 的 实施 细 克 币 称 为 “惯用 法 则 ”〈idioms of use) 。2013 年 ， 一 组 研 
究 人 员 发 现 了 大 多 数 钱 包 软 件 都 在 使 用 的 惯用 法 则 ， 并 推导 出 一 种 用 来 鉴定 零钱 
地 址 的 强大 方法 。 具 体 而 言 ， 钱 包 在 有 需要 的 时 候 都 会 生成 一 个 全 新 的 地 址 ， 因 
为 这 种 惯用 法 则 的 使 用 ， 这些 新 的 地 址 通常 都 是 从 来 没有 在 区 块 链 网 络 出 现 过 的 。 
换 句 话说 ， 非 零钱 地 址 通常 都 不 是 新 地 址 ， 而 是 已 经 在 区 块 链 网 络 里 出 现 过 的 ， 
那么 其 他 人 就 可 以 利用 这 个 特性 去 分 辩 零 钱 地 址 ， 并 把 它 和 输入 地 址 相关 联 。 

依赖 惯用 法 则 来 推测 零钱 地 址 可 能 会 出 错 。 事 实 上 ， 零 钱 地 址 是 新 地 址 这 
一 特性 不 过 恰巧 是 钱包 软件 的 一 个 特性 。 在 2013 年 研究 者 测试 的 时 候 发 现 确实 
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是 这 样 ， 现 在 可 能 还 是 ,但 也 有 可 能 不 再 如 此 了 。 用 户 可 以 选择 覆 兰 抒 原 来 的 
默认 设 定 ， 最 重要 的 是 ， 当 对 手 了 解 了 这 种 技术 的 时 候 就 可 以 很 容易 回避 ， 即 
使 是 在 2013 年 ， 研 究 者 也 发 现 这 种 特征 也 会 经 党 产生 误 报 ， 按 照 这 种 规则 可 以 
归 到 一 个 簇 的 地 址 ， 不 一 定 是 属于 同一 个 个 体 的 。 人 研究 者 声称 ， 他 们 需要 大 量 
的 人 工 监督 和 干巴 才能 去 除 这 些 误 报 。 


关联 真实 世界 的 身份 到 地 址 族 

在 图 6.4 中 ,我 们 可 以 看 到 ， 米 殉 尔 ， 约翰 (Meikle John) 等 人 是 如 何 利 
用 惯用 法 则 这 样 的 启发 式 算 法 来 聚 类 比特 币 地 址 的 ,但 是 这 种 族 没 有 标签 一 一 
也 就 是 说 ,我 们 还 没有 关联 一 个 真实 的 喘 份 到 这 个 禾 。 





图 6.4 地 址 簇 
注 : 摘 月 2013 年 的 一 篇 论文 “一 把 比特 币 : 寻找 支付 特征 ” 在 一 组 没有 姓名 的 用 户 中 ， 研 究 
者 将 联合 支付 的 地 址 和 全 新 的 零钱 地 址 归 类 到 一 个 比特 币 地 址 徐 。 图 中 ， 圆 形 的 大 小 表示 
流入 这 些 地 址 簇 里 的 货币 数量 ， 每 一 条 线 则 代表 一 个 交易 


我 们 可 以 根据 所 了 解 的 比特 币 经 济 情况 来 做 一 个 合理 的 推测 。 回 到 2013 
年 ， 门 头 沟 公司 曾经 是 最 大 的 比特 币 交 易 所 ， 所 以 我 们 可 以 猜测 图 中 较 大 的 圆 
问 代 表 的 台 是 该 交易 所 控制 的 地 址 ,我 们 可 能 也 注意 到 ,图 中 左 侧 的 深 色 的 圆 
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圈 代 表 了 很 小 的 比特 币 总 量 ， 但 同时 又 有 非常 大 的 交易 量 ， 这 个 特性 很 符合 叫 
作 中 本 聪 之 骨 (Satoshi Dice) 的 在 线 比 特 币 博彩 游戏 ， 这 个 游戏 中 ,你 可 以 发 
送 微小 量 的 比特 币 作 为 赌注 。 总 的 来 说 ， 这 并 不 是 一 个 很 好 的 方法 来 辨识 地 址 
篮 ， 这 需要 很 多 背景 知识 和 推测 ， 可 能 仅仅 对 特征 比较 显著 的 案例 有 效 。 


利用 交易 进行 标记 

如 果 仅 仅 是 通过 访问 交易 所 或 者 商家 的 网 站 ， 以 查询 其 公布 的 接收 比特 币 
的 地 址 ， 会 怎么 样 呢 ? 这 其 实 没 有 实际 意义 。 因 为 大 多 数 服 务 提 供 商 都 会 针对 
每 一 个 交易 公布 一 个 新 的 地 址 ， 而 这 个 新 地 址 还 没有 公布 在 区 块 链 网 络 上 ， 等 
待 这 些 地 址 发 生 交 易 没 有 意义 ， 因 为 这 些 地 址 通常 不 会 再 显示 给 其 他 人 。 

唯一 可 靠 的 推断 地 址 的 方法 ， 是 通过 和 这 些 服务 提供 商 发 生 一 个 实际 的 交易 ， 
交 存 比特 币 或 者 购买 一 个 商品 等 ， 当 你 发 送 或 者 接收 比特 币 的 时 候 ， 你 将 会 知道 
它们 所 拥有 的 地 址 之 一 ， 而 且 很 快 这 个 地 址 就 会 在 区 块 链 网 络 上 公示 (并 且 是 在 
其 中 一 个 徐 中 的 )。 于 是 你 可 以 为 这 个 簇 打上 该 服务 商 的 身份 标识 标签 ， 

这 就 是 当时 “一 把 比特 币 ” 的 研究 者 (以 及 自 那 之 后 的 其 他 人 ) 追踪 地 址 
的 做 法 ， 他 们 购买 了 不 同 的 东西 ， 加 入 了 矿 池 ， 使 用 比特 币 交 易 所 、 钱 包 服 务 、 
博彩 网 站 ， 以 及 其 他 一 些 和 这 些 服务 提供 商 产 生 比 特 币 交易 的 行为 ， 总 计 进 行 
了 344 笔 交 易 。 

在 图 6.5 中 ,我 们 又 一 次 看 到 了 图 6.4 的 艇 ,只 不 过 这 一 次 贴 上 了 附加 的 标 
签 ， 我 们 有 关门 头 沟 公 司 和 中 本 聪 之 货 的 猜测 是 准确 的 ， 这 些 研究 者 同时 辨识 
出 一 批 其 他 的 服务 提供 商 ， 而 如 果 不 用 交易 的 方式 是 很 难 标 识 它们 的 。 


辨识 个 人 

下 一 个 问题 是 : 我 们 是 否 可 以 对 个 人 做 同样 的 动作 ?也 就 是 说 ,我 们 是 否 
叮 以 关联 一 些小 的 族 以 辨识 个 人 在 真实 生活 中 的 身份 ? 

直接 交易 。 任 何人 和 茶 个 个 人 进行 比特 币 交 易 的 时 候 一 一 不 管 是 线 上 还 是 
线 下 的 商家 、 交 易 所 ， 或 者 一 个 用 比特 币 来 分 担 晚餐 账单 的 朋友 一 一 都 可 以 通 
过 这 种 直接 交易 ， 了 解 到 他 们 的 有 效 地 址 〈 至 少 一 个 ) 
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图 6.5 标签 簇 
注 : 通过 和 不 同 的 比特 币 服务 提供 商 进行 交易 ， 米 克 尔 . 约翰 等 人 得 以 辨识 并 且 标记 这 些 艇 在 
真实 世界 中 的 身份 。 


通过 服务 提供 商 。 在 使 用 比特 币 几 个 月 甚至 几 年 的 时 间 里 ， 大 多 数 用 户 都 
会 跟 交 易 所 或 者 其 他 中 心 化 的 服务 提供 商 有 一 些 交 集 ， 这 些 服务 提供 商都 会 直 
接 询 问 用 户 的 真实 身份 一 一 通常 法 律 要 求 它 们 必须 这 样 做 。 这 个 话题 我 们 将 会 
在 下 一 个 章节 讨论 。 如 果 执 法 部 门 想 要 去 辨识 某 一 个 个 人 ， 就 可 以 直接 去 找 这 
些 服务 提供 商 ， 要 求 它 们 提供 数据 。 

朴 忽 。 人 们 通常 都 会 在 公共 论坛 里 公示 自己 的 比特 币 地 址 ， 一 个 通常 的 原 
因 都 是 通过 这 种 办 法 请 求 捐 助 。 当 有 人 这 么 做 的 时 候 ， 其 实 已 经 创建 了 一 个 他 
们 上 自己 的 身份 和 他 们 某 一 个 地 址 的 关联 ， 如 果 他 们 不 使 用 我 们 将 要 探讨 的 匿名 
服务 ， 所 有 的 交易 都 将 会 面临 被 骏 露 的 风险 。 

随 看 时 间 的 推移 ， 针 对 隐私 的 攻击 会 变 得 越 来 越 有 效率 。 历 史记 录 表 明 ， 
当 越 来 越 多 的 研究 者 去 研究 并 开发 出 新 的 去 匿名 化 的 技术 时 ， 越 来 越 多 的 数据 
会 被 公开 ， 去 匿名 化 的 算法 也 由 此 随 着 时 间 的 推移 而 不 断 得 到 改进 。 除 此 之 外 ， 
会 有 越 来 越 多 的 辅助 信息 可 以 帮助 攻击 者 去 识别 这 些 地 址 艇 ， 如 果 你 非常 关心 
隐私 ， 那 么 这 个 问题 就 值得 去 担忧 。 

日 前 ， 我 们 探讨 的 去 匿名 化 技术 ， 都 是 基于 对 区 块 链 网 络 上 交易 图 谱 进 行 
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的 分 析 ， 这 些 方法 被 归纳 为 交易 图 谱 分 析 (transaction graph analysis)。 


网 络 层 的 去 匿名 化 

用 户 被 去 匿名 化 ， 有 很 多 种 不 依赖 于 交易 图 谱 的 方法 。 为 了 在 区 块 链 网 络 
中 公示 一 个 交易 ， 一 种 典型 的 方法 就 是 广播 这 个 交易 到 比特 币 点 对 点 的 网 络 中 ， 
在 这 个 网 络 中 ， 消 息 会 被 相应 地 发 送 ， 但 不 一 定 要 在 区 块 链 网 络 里 做 永 人 记录。 

在 计算 机 网 络 术 语 中 ， 区 块 链 被 归 为 应 用 层 ， 而 点 对 点 的 网 络 则 是 网 络 层 。 
2011 年 ， 丹 ，… 卡 明 斯 基 (Dan Kaminsky) 在 黑 帽 技术 大 会 《Black Hat) 上 上 有 次 所 
出 了 网 络 层 去 匿名 化 的 概念 。 他 注意 到 ， 当 某 个 节点 创建 一 个 交易 时 ， 该 节点 就 
会 和 其 他 很 多 节点 建立 链接 并 且 广 播 该 笔 交 易 。 如 果 网 络 上 足够 多 的 节点 串通 起 
来 〈 或 者 是 被 同一 个 攻击 者 所 控制 的 ) ， 他 们 就 能 分 辨 出 第 一 个 广播 交易 的 节点 ， 
并 且 可 以 因此 推断 ， 这 个 节点 就 是 被 创建 这 个 交易 的 用 户 所 拥有 的 。 攻 击 者 因此 
可 以 把 这 个 交易 关联 到 这 个 节点 的 IP 地址 ， 而 PP 地 址 已 经 非常 接近 于 真实 世界 的 
个 人 身份 了 一 一 有 很 多 办 法 可 以 发 现 某 个 IP 地 址 背后 的 用 户 身 份 。 因 此 ， 网 络 层 
去 匿名 化 就 是 隐私 保护 的 一 个 非常 严重 的 问题 (参见 图 6.6) 。 





图 6.6 网 络 层 去 匿名 化 
注 : 正如 丹 : 卡 明 斯 基 在 2011 年 黑 帽 技术 大 会 上 的 演讲 中 指出 的 , “第 一 个 通知 交易 的 节点 很 
有 可 能 就 是 交易 源头 ”。 当 有 多 个 节点 配合 并 且 对 同一 个 交易 源头 进行 识别 的 时 候 ， 这 种 方 
法 的 实际 效果 会 更 加 明显 
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幸运 的 是 ， 这 是 一 个 通信 匿名 性 的 问题 ， 已 经 有 很 多 研究 在 探索 这 个 诛 题 。 
正如 我 们 前 面 在 6. 1 节 中 已 经 看 到 的 ，Tor 这 个 使 用 很 广泛 的 系统 就 是 用 来 实现 
通信 匿名 性 的 。 

在 使 用 Tor 系统 为 比特 币 实现 网 络 层 匿名 化 的 解决 方案 的 时 候 ， 有 几 个 注意 
事项 。 首 先 ， 在 Tor 的 协议 和 任何 基于 此 协议 的 上 层 协议 之 间 ， 可 能 会 有 一 些 复 
杂 的 交互 ， 由 此 可 能 会 导致 新 的 破坏 匿名 化 的 方法 。 事 实 上 ， 研 究 者 已 经 发 现 ， 
在 使 用 Tor 协议 之 上 的 比特 币 时 ， 存 在 一 些 潜在 的 安全 问题 ， 使 用 这 个 方案 的 时 
候 一 定 要 非常 小 心 。 其 次 ,可 能 有 其 他 一 些 匿名 通信 的 技术 ,会 更 适合 比特 币 
的 使 用 。Tor 的 定位 是 针对 那些 低 延 迟 的 活动 ， 比 如 网 页 浏览 。 在 网 页 浏览 的 时 
候 ， 你 也 不 想 坐 在 那里 等 半天 ， 因 此 要 取得 低 延 迟 ， 在 匿名 化 方面 可 能 要 做 出 
某 些 牺牲 。 相 反 ， 比 特 币 则 是 一 个 高 延迟 的 系统 ， 因 为 比特 币 交 易 需 要 花 时 间 
来 获得 区 块 链 上 的 确认 因此， 至 少 在 理论 上 我 们 可 能 更 希望 使 用 另外 一 种 替 
代 方 案 来 实现 匿名 性 ， 比 如 混 币 网 络 (Mix Net， 参 见 本 章 6.3 节 )。 但 就 目前 来 
说 ， 作 为 一 个 实际 在 运行 的 并 且 有 广大 用 户 基 础 的 系统 ，Tor 还 是 有 一 些 优 势 
的 ， 而 且 这 些 用 户 的 安全 问题 已 经 被 集中 地 研究 过 。 

到 目前 为 止 ， 我 们 已 经 看 到 ， 通 过 交易 图 谱 分 析 的 方法 ,不同 的 地 址 有 可 
能 被 关联 在 一 起 ， 甚 至 有 可 能 进一步 被 关联 到 真实 世界 的 身份 。 我 们 也 看 到 ， 
基于 点 对 点 网 络 ， 交易 或 者 地 址 可 能 会 被 关联 到 一 个 IP 地 址 。 对 后 一 个 问题 ， 
里 然 我 们 现在 还 不 能 说 可 以 完全 解决 , 但 至 少 解决 起 来 相对 容易 。 前 一 个 问题 
就 要 有 拱 烦 很 多 ， 我们 将 在 本 昔 的 后 续 部 分 ,继续 探 讨 如 何 去 解 决 它 。 


6.3 混 币 


有 一 些 机 制 可 以 使 得 交易 图 谱 分 析 变 得 不 那么 有 效 ， 其 中 一 种 就 是 混 币 
( Mixing) ， 这 种 技术 背后 的 迎 辑 其 实 很 简单 ， 如 果 你 想 要 匿名 化 ， 那 就 使 用 一 
个 中 介 媒 体 。 这 个 原则 不 是 特别 针对 比特 币 的 ， 在 很 多 需要 实现 匿名 性 的 情形 
下 都 很 有 用 。 图 6. 7 展示 的 就 是 混 币 模式 。 
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图 6.7 混 币 模式 
注 : 用 户 发 送 比 特 币 给 一 个 中 介 媒 体 ， 并 通过 其 他 的 用 户 回 收 比特 币 。 这 就 使 得 在 区 块 链 上 追 
踪 一 个 用 户 的 比特 币 ， 变 得 更 加 困难 ， 


混 币 在 线 钱包 

如 果 你 还 记得 我 们 有 关 在 线 钱包 的 讨论 ， 那 么 在 线 钱包 貌似 就 适合 作 一 个 
交易 中 介 。 在线 钱包 提供 了 一 种 在 线 存储 和 提取 比特 币 的 服务 ,存储 和 提取 可 
以 在 不 同 的 时 间 发 生 。 通 常 ， 你 提取 的 比特 币 有 别 于 你 存储 的 比特 币 ， 那 么 ， 
是 否 这 就 意味 着 ， 在 线 钱包 提供 了 一 种 有 效 的 混 币 服务 呢 ? 

在 线 钱包 确实 提供 了 一 个 去 关联 性 的 方法 ， 这 可 以 阻止 交易 图 谱 分 析 类 型 
的 攻击 尝试 ， 在 一 个 具体 的 案例 中 ,一 些 杰 出 的 全 究 者 不 得 不 回 撤 一 个 面向 公 
众 的 申明 ， 因 为 他 们 之 前 发 现 的 一 个 关联 ， 其 实 只 是 在 线 钱 包 提 供 的 一 个 伪 
大 联 。 

从 为 外 一 个 角度 看 ， 使 用 在 线 钱包 来 做 混 币 服务 ， 也 存在 一 些 严 重 的 局 
限 性 。 首 先 ， 大 多 数 在 线 钱包 并 不 能 保证 一 定 能 实现 混 币 功效 ， 它 们 实现 混 
币 的 功能 ， 其 实 是 因为 这 样 做 向 化 了 开发 工程 。 作 为 用 户 ， 你 得 不 到 它们 不 
会 去 变更 其 混 币 模式 的 保证 。 其 次 ， 即 使 它们 实现 了 混 币 ， 其 内 部 也 会 保留 
一 份 记录 ， 用 来 匹配 你 的 存 人 和 提取 。 这 不 仅 是 出 于 安全 性 的 考虑 ， 也 是 根 
据 合 规 要 求 的 审慎 做 法 。 所 以 说 ， 如 果 你 的 威胁 模型 会 考虑 服务 提供 商 本 
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身 会 跟踪 你 ， 或 者 服务 提供 商 被 黑客 攻击 ， 又 或 者 服务 提供 商 被 迫 提 供 它 
们 的 记录 等 这 些 可 能 性 ， 你 就 又 回 到 了 原点 。 最 后 ， 除 了 保留 内 部 记录 之 
外 ， 声 誉 好 的 且 受 监管 的 服务 提供 商 ， 也 会 要 求 你 提供 个 人 映 份 以 进行 记 
录 (我 们 将 在 第 7 章 中 具体 讨论 监管 问题 ) 。 你 无 法 简单 地 通过 一 个 用 户 和 名 
和 密码 ， 就 能 够 创建 一 个 账号 。 所 以 ， 在 某 种 意义 上 ， 这 可 能 比 你 不 用 钱 

在 线 钱包 服务 所 提供 的 匿名 性 ， 和 传统 银行 所 提供 的 服务 类 似 ， 都 有 一 
个 知道 所 有 用 户 的 交易 记录 的 中 央 媒 介 。 对 一 个 没有 特权 信息 的 陌生 人 来 说 ， 
我 们 具备 了 一 定 程 度 的 隐私 。 但 是 ， 正 如 我 们 讨论 过 的 ， 区 块 链 的 公共 属性 
意味 着 ， 如 果 发 生 任 何 问 题 (比如 ， 钱 包 或 者 交易 所 服务 被 黑客 攻击 而 导 
致 内 部 数据 的 暴露 ) ， 隐 私 风 险 会 比 传统 的 银行 系统 更 大 。 除 此 之 外 ， 越 来 
越 多 的 人 就 是 因为 不 满意 传统 系统 的 匿名 性 ， 并 想 要 一 个 更 好 的 (或 者 不 
同 的 ) 匿名 性 保障 才 转 回 使 用 比特 币 ， 这 些 都 是 用 户 使 用 专项 混 币 服务 的 
动力 。 


专项 混 币 服务 

不 同 于 在 线 钱包 ， 专 门 的 混 币 服务 既 可 以 保证 不 留 记 录 ， 又 不 需要 你 的 号 
份 验证 。 你 甚至 不 需要 一 个 用 户 名 或 者 其 他 化 名 来 使 用 这 项 服务 ， 只 需要 发 送 
比特 币 到 混 币 服务 提供 的 地 址 ， 并 且 告 诉 交 易 服 务 提供 商 你 发 送 的 比特 币 所 需 
区 达到 的 地 址 ， 混 币 服 务 提供 商 就 会 帮 你 转 过 去 相同 数量 的 比特 币 〈 不 是 你 发 
送 的 比特 币 ) 。 本 质 上 ， 这 是 一 种 互 换 。 

同时 ， 为 一 个 好 处 是 这 种 专项 混 币 服务 承诺 不 会 保留 记录 ， 这 看 上 去 不 错 。 
但 你 必须 要 信任 它们 会 信守 承诺 ， 并 且 你 还 必须 相信 它们 最 终 会 帮 你 完成 转账 。 
不 像 在 线 钱包 ， 由 于 混 币 服务 并 不 提供 一 个 存储 比特 币 的 地 方 ， 你 需要 混合 后 
的 比特 币 尽快 回 到 目 己 手中 。 这 也 就 意味 着 ， 混 币 池 中 将 要 和 你 刚刚 存 人 的 比 
特 币 混在 一 起 的 其 他 比特 币 总 量 会 非常 少 ， 大 概 就 是 在 你 的 比特 币 存 人 的 同时 
其 他 人 存 入 的 数量 ，。 
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全 混合 (mix ) 和 洗钱 (laundry ) 


在 这 本 书 里 ， 我 们 使 用 了 一 个 术语 混合 ， 特 指 一 个 专项 的 混 币 服务 ， 也 
有 些 人 比较 倾向 于 用 另外 一 个 同样 意思 的 术语 mixero 

你 可 能 也 遇 到 了 洗钱 这 个 词 ， 我 们 并 不 喜欢 这 个 词 ， 因 为 这 个 词 不 必要 
地 关联 到 了 一 个 道德 评价 的 问题 ， 而 实际 上 我 们 讨论 的 是 一 个 纯 技术 的 概念。 
正如 我 们 所 见 ， 为 什么 你 需要 保护 你 在 比特 币 运用 中 的 隐私 ， 并 且 使 用 滥 币 
服务 来 保护 你 的 日 常 隐 私 ， 你 有 很 多 很 好 的 理由 。 当 然 我 们 也 需要 了 解 它 的 
负面 作用 ， 但 是 洗钱 这 样 的 描述 加 重 了 负面 含义 ， 因 为 这 可 能 带 了 一 种 暗示 ， 
暗示 你 的 比特 币 是 “ 脏 ” 的 ， 需 要 洗 干 净 。 

还 有 另外 一 个 词 翻 洗 (tumbler) ， 这 次 词 的 含义 不 是 很 清楚 ， 可 能 会 被 理 
解 为 翻滚 式 混 币 的 一 种 行为 ， 或 者 是 指 因 此 而 带 来 的 清洗 效果 (在 宝石 之 类 
的 范畴 ) 。 不 管 怎 么 说 ， 我 们 还 是 坚持 使 用 “mix” 这 样 一 个 词 。 


混 币 准则 

有 一 组 研究 者 ， 包 括 本 书 5 个 作者 中 的 4 个 ,研究 了 混 币 模式 ， 不 仅仅 是 
从 增强 匿名 性 的 角度 ， 而 且 还 从 安全 信任 等 级 方面 ， 提 出 了 一 系列 改进 混 币 运 
作 的 方案 ， 我 们 将 深入 探讨 这 些 准 则 . 


多 重 混 币 的 使 用 
首要 的 原则 是 使 用 多 重 混 币 服务 ,一 环 套 一 环 ， 而 不 是 仅 使 用 单 次 混 币 
(参见 图 6.8) 。 这 是 一 个 已 经 被 广泛 接受 并 且 已 经 比较 完善 的 原则 ， 例 如 ， 正 
如 我 们 简要 探讨 过 的 Tor 系统 ， pads ty 这 可 以 减少 你 
对 单一 混 币 服务 提供 者 可 信赖 性 的 依赖 。 一 系列 中 的 任何 一 个 混 币 服务 
提供 者 信守 承诺 并 删除 了 记录 ， 你 就 有 heed 没有 任何 人 能 够 将 你 的 原始 
输入 关联 到 你 最 终 接收 到 的 输出 
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混 币 1 混 币 2 混 币 3 











图 6.8 多 重 混 币 
注 : 我 们 从 一 个 持 有 比特 币 或 者 输入 地 址 的 用 户 开 始 ， 且 假设 该 用 户 已 经 被 其 他 人 关联 到 了 其 具 
体 身 份 。 该 用 户 通 过 混 币 服务 提供 商 来 发 送 比 特 币 ， 每 次 都 需要 提供 一 个 全 新 产生 的 输出 地 
址 ， 只 要 能 够 在 所 提供 的 至 少 一 个 混 币 环节 销 筑 输入 和 输出 匹配 的 记录 ， 而 且 没 有 其 他 渠道 
可 以 泄露 相关 信息 ， 其 他 人 就 无 法 把 用 户 最 初 发 送 的 比特 币 和 最 终 接 收 的 比特 币 关 联 起 来 . 


一 致 性 交易 ( uniform transactions ) 

在 混 币 交易 中 ， 如 采 不 同 用 户 使 用 了 不 同 数量 的 比特 币 ， 这 样 的 混 币 不 一 
定 会 非常 有 效 。 由 于 初始 进入 和 从 混 币 过 程 中 出 来 的 比特 币 数量 必须 要 一 致 ， 
束 可 以 通过 观察 菜 用 户 的 比特 币 在 混 币 过 程 中 的 流入 流出 而 建立 起 一 个 关联 ， 
或 者 至 少 会 极 大 地 减少 医 名 集中 的 交易 数量 。 

相反 ， 我 们 需要 混 币 中 的 交易 价值 能 够 服从 平均 分 布 ， 从 而 最 小 化 被 关联 
的 可 能 性 。 所 有 的 混 币 服务 都 应 该 对 使 用 的 块 大 小 (chunk size) 达成 一 致 ， 也 
怠 是 识 ， 使 用 一 个 固定 的 混 币 输入 值 ， 就 可 以 增强 所 有 通过 混 币 服务 的 交易 萎 
名 性 。 因 为 所 有 的 交易 看 起 来 部 一 样 ， 而 不 能 通过 交易 价值 的 不 同 ， 分辨 出 不 
一 样 的 地 方 。 册 者 ， 在 所 有 的 混 币 中 使 用 统一 的 大 小 ， 可 以 让 使 用 多 重 混 币 更 
加 容 匈 ， 而 不 需要 去 拆 分 和 合并 其 中 的 交易 

在 实际 运作 中 ， 对 所 有 用 户 统 一 交易 块 大 小 可 能 会 比较 困难 。 如果 我 们 选 
拌 的 块 太 大 ， 对 想 使 用 混 币 来 处 理 少 量 比 特 币 的 用 户 则 不 适用 ; 而 如 果 选 择 的 
块 太 小 ， 那 么 想 处 理 大 额 交 易 的 用 户 可 能 需要 把 交易 拆 成 大 量 的 小 额 交 易 ， 这 
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种 做 法 会 非常 没有 效率 而 且 成 本 很 高 。 多 标准 块 大 小 则 可 以 改善 性 能 ， 但 是 不 
同 的 块 大 小 也 会 相应 地 分 割 交 易 匿 名 集 。 或 许 一 系列 渐 增 的 两 到 三 个 块 大 小 ， 
有 可 能 会 在 效率 和 隐私 程度 之 间 达 到 一 种 合理 的 平衡 。 


客户 端 自动 化 

除了 在 基于 交易 量 的 关联 尝试 之 外 ， 一 些 聪 明 的 攻击 者 会 尝试 其 他 不 同 的 
方法 ,例如 观察 交易 发 生 的 时 间 。 这 些 攻击 其 实 可 以 防范 ,但 必要 的 预防 措施 
对 于 人 类 来 说 太 过 复杂 和 有 麻烦。 相反 ， 混 币 服务 的 客户 并 功能 应 该 是 目 动 化 的 ， 
并 上 且 是 隐私 保护 比较 好 的 钱包 内 阐 功 能 。 


手续 费 应 该 是 要 么 全 有 要 么 全 无 

混 币 服务 是 一 种 有 收益 期 望 的 生意 。 一 种 计 费 的 方式 是 从 每 一 笔 交 易 中 分 
成 ， 但 是 这 种 方法 对 匿名 性 的 实施 是 有 问题 的 ， 因 为 混 币 不 再 是 统一 的 大 小 。 
(如 果 用 户 尝 试 去 分 拆 和 全 并 较 小 的 交易 块 使 得 交易 大 小 回 到 初始 的 状态 ， 那 就 
有 可 能 带 来 严重 的 并 且 难 以 分 析 的 匿名 被 暴露 的 风险 ， 因 为 有 更 多 的 新 的 有 关 
交易 中 的 比特 币 的 关联 会 产生 。) 


不 要 把 交易 手续 费 和 混 币 服务 费 混 为 一 谈 ， 交 易手 续费 是 矿工 所 获得 的 ， 
混 币 服务 费 是 在 此 之 上 的 额外 的 费用 。， 


为 了 避免 这 个 问题 ， 混 币 服务 费 应 该 是 要 么 全 有 要 么 全 无 ， 并 且 依 概率 规 
则 来 应 用 。 换 句 话 说 ， 混 币 服务 提供 商 应 该 要 么 在 很 小 的 概率 情况 下 获得 所 有 
的 交易 金额 ， 要 么 完全 不 收费 。 举例 来 说 ， 如 果 混 币 服务 商 想 要 按照 0.1% 收 
费 ， 那 么 应 该 是 每 1 000 次 交易 中 有 一 次 服务 提供 商 获得 整个 交易 金额 ， 而 其 他 
的 999 次 则 不 收 任何 费用 ， 

这 个 会 很 难 实现 ， 混 币 服务 商 需 要 做 出 一 个 概率 决策 ， 并 且 要 让 用 户 信服 它 
们 没有 作 浆 ， 也 就 是 说 ， 在 它们 的 随机 数 生成 器 中 没有 做 过 任何 概率 偏 置 设 定 。 
比如 ， 获 得 整个 交易 金额 的 概率 是 1% 而 不 是 0. 1% 。 加 密 学 提供 了 一 个 很 好 的 办 法 ， 
你 可 以 参考 下 面 将 要 延伸 阅读 章节 中 提 到 的 有 关 混 币 的 论文 ， 以 获取 更 多 的 细节 ， 
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在 这 篇 论文 中 ， 也 提 到 了 可 以 让 混 币 服务 提供 商 提高 公信 力 的 多 种 其 他 方式 。 


温 币 实践 

直至 2015 年 ， 还 不 存在 一 个 正常 运行 的 混 币 生态 系统 。 市 场 上 有 很 多 的 混 
币 服务 ， 但 是 都 只 有 比较 低 的 交易 量 ， 因 此 它们 的 匿名 组 合 比 较 小 。 更 糟糕 的 
是 ， 许 多 混 币 服 务 提供 商 被 报告 有 盗 币 行为 ， 或 许 “ 自 举 ” 这 样 一 个 生态 系统 太 
难 ， 正 是 混 币 系统 从 来 没有 良好 运行 过 的 一 个 原因 。 基 于 混 币 服务 提供 商 狐 独 的 
名 声 ， 并 没有 多 少 人 想 要 使 用 它们 的 服务 ， 这 也 导致 了 较 低 的 交易 量 ， 进 而 导致 
了 不 好 的 匿名 保护 。 老 话说 得 好 ， 大 隐隐 于 市 〈anonymity loves company ) ， 也 就 
是 说 ， 越 多 人 使 用 一 个 匿名 服务 ， 那 么 这 个 服务 能 提供 的 匿名 性 就 越 高 
步 来 说 ， 由 于 提供 服务 并 没有 太 多 利益 可 图 ， 服 务 提供 商 可 能 会 ga 
户 的 资金 ， 这 会 使 得 混 币 服务 提供 商 的 公信 力 出 现 持 续 的 恶性 循环 。 

当前 ， 混 币 服务 提供 商 并 没有 遵循 我 们 所 探讨 的 任何 原则 。 每 一 个 服务 提 
供 商都 是 独立 运营 的 ， 并 且 通 党 都 会 提供 给 用 户 一 个 网 页 接口 ， 让 用 户 手 工 输 
入 收 钱 地 址 和 其 他 一 些 必要 的 参数 。 用 户 可 以 选择 他 们 需要 进行 混 币 交易 的 数 
量 ， 服 务 提 供 商 针对 每 一 笔 交 易 收 取 提 成 来 作为 服务 费 ， 然 后 发 送 剩 余 的 比特 
币 到 用 户 指 定 的 目标 地 址 。 

我 们 认为 ， 对 混 币 服务 提供 商 ( 和 钱包 软件 提供 商 ) 来 说 ,为 了 可 以 获取 
更 强 的 匿名 性 ， 抵 御 智 能 攻击 ， 提 供 一 个 高 可 用 性 的 接口 ， 进 而 吸引 更 多 的 交 
易 量 ， 实 施 我 们 介绍 的 模式 是 很 有 必要 的 。 然 而 ,迄今 为 止 ， 我 们 还 是 没有 看 
到 过 一 个 比较 强健 的 混 币 生态 系统 


6.4 分 布 式 混 币 


分 布 式 混 币 (Decentralized Mixing ) ， 不 同 于 一 般 的 混 币 交易 ， 指 的 是 用 一 
种 用 户 之 间 的 点 对 点 模式 实现 混 币 交易 的 协议 。 正 如 你 可 以 想象 的 ， 这 种 方式 
在 理念 上 杜 比 特 币 更 加 契合 。 


ww ai bbt.com DODODDDDD 





203 


”区 块 链 ， 技术 驱动 金融 


分 布 式 模 式 具 有 更 高 的 可 操作 性 。 首先， 分 布 式 没 有 上 自 举 的 问题 ， 用 户 不 
需要 等 待 一 个 有 公信 力 的 集中 式 混 币 提 供 商 出 现 。 其 次 ， 盗 币 行为 在 分 布 式 混 
币 模式 下 几乎 不 太 可 能 发 生 ， 这 种 协议 可 以 保证 你 可 以 收回 你 在 进行 混 币 交易 
时 等 值 的 比特 币 ， 正 是 因为 这 一 点 ， 即 便 是 要 进行 一 些 对 分 布 式 混 币 有 用 的 中 
心 化 的 协作 ， 由 于 无 须 说 服 别人 自己 是 值得 信任 的 ,任何 人 都 可 以 更 加 容易 地 
设置 并 提供 这 样 的 服务 。 最 后 ， 在 某 些 方式 中 ,分 布 式 混 币 模式 可 以 提供 更 好 
的 匿名 性 。 


合 币 

分 布 式 混 币 模式 的 主要 方案 被 称 为 合 币 〈Coinjon)。 在 这 个 协议 中 ， 不 同 
的 用 户 共同 创建 一 个 单一 的 比特 币 交 易 ， 该 交易 包含 所 有 的 用 户 输入 。 让 合 币 
得 以 有 效 运作 的 核心 技术 原理 为 : 当 一 个 交易 拥有 多 个 来 目 不 同 地 址 的 输入 时 ， 
来 日 每 一 个 输入 的 签名 部 是 分 离 并 且 相 互 独立 的 ， 所 以 这 些 不 同 的 地 址 可 以 被 
不 同 的 人 所 控制 ， 而 不 需要 任何 一 方 来 提取 所 有 的 私 钥 (参见 图 6.9)， 





图 6.9 合 币 交易 


这 样 就 可 以 让 一 组 用 户 通 过 使 用 单一 交易 来 进行 混 币 交易 。 每 一 个 用 户 提 
供 一 个 输入 和 输出 地 址 ， 然 后 组 合 起 来 就 形成 一 个 交易 。 由 于 输入 和 输出 地 址 
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的 顺序 是 随机 的 ， 因 此 攻击 者 无 法 建立 输入 和 输出 的 匹配 关系 。 参 与 者 可 以 得 
询 他 们 的 输出 地 址 已 经 包含 在 交易 里 ， 并 且 会 接收 到 和 他 们 输入 时 数量 相同 的 
比特 币 ( 减 去 所 有 的 交易 手续 费 )。 一 旦 他 们 确认 了 这 些 ， 就 可 以 对 这 个 交易 进 
行 确认 签名 。 
当 其 他 人 在 区 块 链 网 络 上 查询 这 笔 交 易 的 时 候 ， 即 使 他 们 知道 这 是 一 笔 合 

币 交 易 ， 也 不 能 确定 输入 地 址 和 输出 地 址 的 匹配 。 从 一 个 外 来 者 来 看 ， 这 些 比 
寺 币 已 经 被 充分 混 币 了 ， 这 就 是 合 币 的 精 斤 。 

na) 我 们 已 经 描述 了 一 轮 温 币 交易 ,但 是 我 们 在 6.3 市 中 讨论 的 
原则 仍然 适用 ， 你 想 要 (想必 会 ) 和 不 同 组 的 用 户 重 复 这 样 的 流程 ， 你 也 想 保 
od phpateet Oar bts 总 中 引入 会 造成 信息 泄露 
的 劳 路 。 

现在 让 我 们 来 探究 一 下 合 币 的 细节 ， 我 们 可 以 把 该 流程 分 为 5 个 步骤 : 

1. 找到 想 要 混 币 的 交易 对 手 ， 作 为 市 点 。 

2. 交换 输入 /输出 地 址 。 

3. 建立 交易 。 

4. 发 送 这 个 交易 给 其 他 人 ， 每 一 个 市 点 在 确认 他 们 的 输出 地 址 之 后 ， 进 行 


| 
长 
NR 


5. 广播 这 个 交易 。 
一 组 想 要 进行 混 币 的 节点 ， 首 先 需 要 发 现 彼此 。 这 个 动作 需要 由 一 个 服务 
融 来 完成 ， 其 角色 有 点 像 一 个 “饮水 坑 ” (watering holes)， 允 许 这 一 组 用 户 互 
相连 接 并 组 合 在 一 起 。 不 像 中 心 化 的 混 币 服务 ， 这 些 服务 器 既 不 可 能 有 机 会 次 
取 用 户 的 资金 ， og 
一 旦 一 组 市 点 形成 ， 这 些 市 点 必须 要 互相 交换 它们 的 输入 和 输出 地 址 。 地 
址 交换 '! atta 点 也 不 能 知道 这 些 输入 和 输出 地 址 之 间 的 匹 
配 关 系 。 这 一 点 非常 重要 ， 否 则 即使 你 与 一 组 看 上 去 随机 的 节点 进行 了 合 币 交 


D 这 个 比喻 来 日 非 洲 草原 上 的 饮水 坑 ， 需 要 饮水 的 动物 都 会 到 坑 边 去 。 掠 食 动 物 也 常常 在 坑 边 埋伏 
捕猎 ,在 网 络 安全 上 ， 这 种 类 似 “ 饮 水 坑 ” 的 网 站 也 往往 是 黑客 选择 攻击 目标 的 场所 ， 此 类 攻击 
也 被 称 作 “水 坑 攻 击 ” 
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易 ， 攻 击 者 还 是 有 可 能 伪装 自己 进入 这 个 节点 组 ， 并 由 此 获取 输入 和 输出 的 对 
应 匹配 。 要 做 到 无 关联 的 地 址 交换 ， 我 们 就 需要 一 种 匿名 通信 协议 。 我 们 可 以 
使 用 之 前 探讨 过 的 Tor 网 络 ， 或 者 一 种 被 称 为 加 密 混 币 网 络 (mix-net) 的 特殊 
目的 匿名 路 由 协议 。 

输入 和 输出 地 址 信息 一 经 传达 ， 其 中 一 个 用 户 一 一 不 管 是 谁 一 一 将 会 基于 
这 些 相 对 应 的 输入 和 输出 地 址 构建 一 个 交易 ， 这 个 未 被 签名 过 的 交易 将 会 被 转 
发 传递 ， 每 一 个 节点 都 会 验证 这 个 输入 和 输出 地 址 是 否 正确 ， 并 且 签 名 确认 。 

如 果 所 有 的 节点 都 遵循 这 个 协议 ， 那 么 这 个 系统 就 会 正常 工作 。 任 何 一 个 
节点 都 可 以 组 装 交 易 ， 并 且 任 何 一 个 节点 都 可 以 将 这 个 交易 广播 到 网 络 中 ， 甚 
至 这 些 节 点 中 的 两 个 可 以 独立 广播 ， 当 然 ， 这 个 交易 只 会 在 区 块 链 网 络 中 被 公 
布 一 次 。 但 是 ， 如 果 一 个 或 多 个 节点 想 要 进行 破坏 ， 那 么 局 动 一 个 拒绝 服务 攻 
击 并 阻止 这 个 协议 完成 ， 是 很 简单 的 事情 。 

特别 地 ， 一 个 节点 可 以 参与 协议 的 第 一 阶段 ， 提 供 输入 和 输出 地 址 ， 但 拒 
绝 在 第 二 阶段 进行 签名 。 或 者 ， 也 可 能 是 ， 在 对 交易 进行 签名 确认 之 后 ， 一 个 
想 要 破坏 交易 的 节点 可 以 尝试 使 用 它 所 提供 给 其 他 节点 的 输入 地 址 到 其 他 的 交 
易 中 去 ， 如 果 另 一 交易 在 网 络 中 被 抢先 确认 ， 那么 合 币 交易 就 会 被 当 作 双重 支 
付 交 易 而 被 拒绝 。 

在 合 币 交易 中 ， 有 多 种 方案 可 以 防止 拒绝 服务 式 攻击 。 其 中 一 个 就 是 对 协 
议 中 参与 交易 的 节点 施加 成 本 ,不 管 是 通过 一 种 工作 证 明 机 制 (类似 于 挖 矿 )， 
或 者 是 通过 一 种 销毁 证 明 机 制 (一 种 可 证 实 能 销毁 你 所 拥有 的 微量 比特 币 的 技 
术 ， 这 一 点 我 们 在 第 3 章 探 讨 过 ) 。 另 外 的 办 法 包括 ， 使 用 一 些 密码 学 手段 鉴别 
不 符合 规定 的 参与 者 ， 并 且 可 以 把 它们 从 节点 组 里 剔除 。 在 本 章 结 尾 处 ， 我 们 
会 看 到 一 些 相关 细节 。 





高 风险 交易 流 (high-level flows ) 


我 们 之 前 谈 到 过 劳 路 攻击 。 现 在 我 们 来 仔细 看 一 下 产生 旁 路 的 玄机 。 我 们 
假设 ， 通 过 一 个 特定 的 地 址 ， 爱 丽 丝 每 周 都 固定 地 收 到 一 定数 量 的 比特 币 ， 比 
如 43. 12312 个 比特 币 ， 有 可 能 这 是 她 的 薪水 。 进 一 步 假设 她 有 一 个 习惯 ， 每 当 
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收 到 这 笔 资金 的 时 候 就 把 其 中 的 5% 立刻 自动 存 入 男 外 一 个 比特 币 地 址 ， 那 套 她 
的 退休 基金 账号 。 我 们 将 这 种 转账 模式 称 为 高 风险 交易 流 。 在 这 种 情况 下 ， 疏 
有 一 种 混 币 模式 可 以 隐藏 这 两 个 地 址 之 间 的 关系 ， 考 虑 到 这 种 行为 模式 会 在 区 
块 链 网 络 中 是 透明 可 见 的 一 一 这 样 特定 了 金额 和 时 间 的 行为 ,几乎 不 可 能 十 个 
然 发生 的 。 

有 一 种 技术 ， 可 以 帮助 用 户 在 高 风险 交易 流 的 情形 下 重 获 无 关联 性 ， 这 种 
技术 叫 作 合并 规避 (merge avoidance) ， 是 由 比特 币 创始 人 迈 元 ' 世 恩 〈Mike 
Hearn) 提出 的 。 一 般 来 说 ， 为 了 完成 一 笔 文 付 ， 用 户 会 尽 可 能 地 组 合 所 拥有 的 
比特 币 ， 以 便 有 足够 多 的 数额 可 以 文 付 到 单一 接收 地 址 来 完成 交易 。 他 们 有 是否 
可 以 规避 会 导致 所 有 输入 地 址 被 关联 在 一 起 的 合并 行为 呢 ? 这 种 合并 规避 协议 
通过 允许 接收 方 提供 多 个 输出 地 址 的 方式 〈 尽 可 能 多 的 ) ， 使 得 无 天 联 性 成 为 可 
能 。 发 送 方 和 接收 方 可 以 达成 一 致 ， 通 过 把 一 个 数额 较 大 的 文 付 分 拆 为 一 组 小 
面值 的 支付 方式 ， 使 得 这 个 文 付 使 用 多 个 交易 来 完成 ， 如 图 6. 10 所 示 。 





6. 10 合并 规避 
注 ， 爱丽 丝 想 要 用 8 个 比特 币 去 购买 一 只 茶壶 ， 店 铺 提供 了 两 个 地 址 给 她 ， 她 可 以 支付 5 个 比特 
币 到 其 中 一 个 地 址 而 支付 3 个 比特 币 到 另外 一 个 地 址 ， 与 她 的 可 用 输入 资金 匹配 了 ， 这 样 就 
可 以 避免 暴露 两 个 地 址 都 是 属于 爱丽 丝 的 事实 。 


假设 ， 店 铺 最 终 将 这 两 笔 文 付 和 收 到 的 其 他 文 付 合并 在 了 一 起 ， 这 两 个 地 
址 束 不 表征 很 明显 互相 关联 的 了 。 上 店铺 应 该 避 倪 在 收 球 的 同时 ， 蕊 上 重新 把 这 
两 个 输入 合并 在 一 起 ， 否 则 这 两 个 输入 来 日 同一 个 个 体 的 事实 还 是 会 很 明显 。 
当然 ， 爱 丽 丝 也 要 避免 在 同一 时 间 发 送 这 两 笔 支 付 交 易 ， 这 也 有 可 能 类 似 地 暴 
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露 


3il 


忆 。 

总 的 来 说 ， 合 并 规避 可 以 帮助 缓解 高 风险 交易 流 的 问题 : 如 果 东 一 个 交易 流 
水 被 拆 分 成 许多 互相 无 法 关联 的 小 额 流 水 ， 攻 击 者 可 能 就 不 会 辨别 这 个 交易 。 这 
样 做 也 可 以 使 依赖 于 识别 单一 交易 中 共 时 花费 的 多 个 比特 币 的 地 址 禾 扩 术 失 歼 。 


6.5 和 零 币 和 和 零 钞 


在 零 币 和 零 钞 陆续 出 现 之 前 ， 还 没有 哪个 加 密 数 字 货 币 的 匿名 化 方案 可 以 
让 人 如 此 兴奋 ， 不 光 是 因为 它们 所 实施 的 密码 学 原理 非常 高 妙 ， 也 因为 它们 承 
诺 可 以 达到 的 匿名 性 非常 强大 有 效 。 到 目前 为 止 ， 所 有 我 们 看 到 过 的 匿名 加 强 
技术 ， 都 是 在 原来 的 核心 技术 协议 之 上 加 载 匿名 化 处 理 ， 雪 币 和 和 零 钞 则 是 在 协 
议 层 就 融合 了 匿名 化 处 理 . 我 们 将 在 这 里 以 比较 大 的 轮 辜 前 述 一 下 这 个 协议 ， 
并 对 某 些 细节 进行 了 必要 的 简化 ， 但 读者 可 以 在 本 章 结尾 的 延伸 阅读 部 分 找到 
原始 论文 作为 参考 。 

兼容 性 ( compatibility ) 。 零 币 和 和 零 钞 为 保证 很 强 的 匿名 性 ， 是 有 代价 的 : 不 
同 于 中 心 化 的 混 币 服务 和 合 币 交易 ， 这 些 协议 和 现在 的 比特 币 不 兼容 。 通 过 软 
分 叉 (soft fork) 比特 币 协议 的 方式 去 实施 零 币 在 技术 上 是 可 行 的 ， 但 实际 操 
作 的 难度 会 对 此 造成 很 大 的 障碍 . 零 钞 甚至 不 能 通过 软 分 又 比特 币 协议 的 方式 
去 实现 ， 而 只 能 以 一 种 另类 币 (altcoin) 的 方式 存在 。 

加 密 学 保证 (cryptographic _ guarantees ) 。 去 币 和 和 零 钞 在 协议 层 已 经 融和 人 了 混 币 
功能 ， 其 莫名 属性 来 和 目 加 蜜 学 的 保证 ， 从 性 质 上 说 ， 这 些 保证 比 我 们 之 前 讨论 的 
其 他 混 币 技术 更 好 。 在 隐私 保护 方面 ， 你 不 需要 信赖 任何 人 人， 比如， 混 币 服务 提 
供 沿 、 混 币 节 点 ， 或 其 他 任何 形式 的 中 介 ， 甚 至 是 矿工 和 共识 机 制 协议 。 和 大 多 
效 蜜 但 学 保证 一 样 ， 这 种 匿名 性 的 保证 仅仅 依赖 于 攻击 者 的 计算 能 力 上 限 。 


i 所 滑 软 分 叉 在 比特 币 中 的 含义 是 对 协议 进行 向 前 兼容 的 修改 。 修 改 后 的 新 版 本 会 造成 原 有 的 部 分 
区 块 或 交易 无 效 ， 但 是 按 更 新 后 的 协议 产生 的 新 交易 和 区 块 在 旧 协 议 下 是 有 效 的 。 换 句 话 说， 新 
协议 是 原 协议 的 一 个 子 集 一 一 译 者 注 
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等 中 

为 了 解释 零 币 ， 我 们 首先 要 介绍 一 下 基础 币 (Basecoin) 的 概念 ， 基 础 币 是 
一 种 类 似 于 比特 币 的 另类 币 ， 而 零 币 是 这 种 数字 货币 的 一 种 延伸 ， 其 所 提供 的 
匿名 性 的 核心 特点 在 于 ， 你 可 以 将 基础 币 和 零 币 进行 来 回转 换 ， 并 且 当 你 这 人 么 
做 的 时 候 ， 就 打破 了 旧 的 基础 币 和 新 的 基础 币 之 间 的 关联 。 在 系统 里 ， 基 础 币 
是 你 需要 进行 交易 的 货币 ， 堆 币 只 是 提供 了 一 种 交易 基础 币 的 机 制 ， 这 种 机 制 
可 以 确保 新 币 和 旧 币 之 间 毫 无 关联 。 

你 可 以 把 你 所 拥有 的 每 一 个 零 币 当 作 一 个 令 牌 ， 用 来 证 明 你 拥有 这 么 一 个 零 
币 并 且 使 其 不 能 再 被 消费 。 这 种 证 明 机 制 并 不 会 显示 你 所 拥有 的 是 哪 一 个 稚 币 ， 
而 仅仅 是 证 明 你 确实 拥有 一 个 堆 币 ， 稍 后 你 可 以 将 这 个 证 明 给 矿工 看 ， 以 赎 回 这 
个 证 明 并 取得 一 个 新 的 基础 币 。 用 一 个 比喻 来 说 ， 就 好 比 你 去 赌场 用 现金 换 了 一 
些 扑克 筹码 ， 这 些 敌 人 码 就 是 一 种 证 明 ， 证 明 你 存 了 多 少 现金 ， 等 你 离开 赌场 时 ， 
束 可 以 拿 看 这 些 证 明 去 换 相同 数量 的 但 并 不 一 样 的 现金 。 当 然 ， 不 像 扑 克 筹 码 ， 
除了 你 可 以 稍 后 用 来 赎 回 一 个 基础 币 ， 你 并 不 能 拿 零 币 做 任何 事情 。 

为 了 在 加 密 数 字 货 币 中 让 这 样 的 机 制 正常 运转 ,我 们 要 用 密码 学 的 方式 来 
执行 这 些 证 明 ， 我 们 需要 确保 每 一 个 证 明 只 能 赎 回 一 个 基础 币 ， 和 否则 你 就 可 以 
通过 把 一 个 基础 币 转换 成 一 个 零 币 ， 然 后 多 次 赎 回 获取 更 多 的 免费 基础 币 。 


零 知 识 验证 

我 们 使 用 的 核心 加 密 学 工具 是 零 知 识 验证 ， 这 种 方式 可 以 证 明 一 个 声明 
(数学 上 的 ) 是 正确 的 ， 而 不 需要 展示 可 推导 该 声明 正确 性 的 任何 其 他 信息 。 例 
如 ， 假 设 你 已 经 做 了 很 多 工作 解决 了 一 个 哈 硕 谜 题 ， 并 且 你 想 要 向 其 他 人 证 明 
你 做 到 了 。 换 而 言 之 ， 你 想 要 证 明 “ 我 做 到 了 ”这 个 声明 。 

I know x such that H (x|| 《other known inputs》) < (target) 

当然 ， 你 可 以 展示 上 述 公 式 里 的 x 值 来 证 明 你 做 到 了 ， 但 是 零 知 识 验 证 可 以 让 

你 回 别 人 证 明 你 做 到 了 这 一 点 ， 同 时 不 需要 透露 x 的 值 ， 即 便 在 看 过 你 的 证 明之 后 。 
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你 也 可 以 证 明 一 个 如 “我 知道 一 个 x 值 ， 而 公式 H (x) 的 结果 属于 下 和 面 这 
二 ERIC ing 
里 面 到 底 哪 一 个 元 素 等 于 日 (x)。 至 关 重 要 的 是 ， 零 币 就 是 利用 零 知 识 验证 来 
实现 其 功能 的 。 事 实 上 ， 和 零 币 中 被 这 种 方式 证 明 的 声明 ， 与 后 面 要 提 到 的 例子 
非常 相似 。 本 书 中 ， 我 们 把 零 知 识 验证 当成 一 个 黑匣子 ， 只 说 明了 和 去 知识 验证 
可 以 实现 的 属性 以 及 在 这 个 协议 中 的 哪个 部 分 是 必需 的 ， 我 们 并 没有 深究 如 何 
实现 这 一 功能 的 技术 细节 。， 零 知识 验证 是 现代 密码 学 的 一 个 基石 ， 是 很 多 相关 
技术 协议 的 基础 。 青 一 次 强调 ,我 们 建议 有 兴趣 的 读者 可 以 参考 延伸 阅读 中 提 
到 的 文献 ， 去 了 解 更 多 更 加 详细 的 内 容 。 


铸造 零 币 

零 币 通过 铸币 过 程 而 产生 ， 而 且 任 何人 都 可 以 儿 造 一 个 标准 面值 的 雪 币 。 
为 简便 起 见 ， 我 们 认为 零 币 只 有 一 种 面值 ， 每 一 个 零 币 价值 一 个 基础 币 。 虽 然 
任何 人 都 可 以 铸造 一 个 零 币 ,但 是 产生 的 零 币 并 不 自动 具备 任何 价值 你 不 
可 能 获得 免费 的 钱 。 只 有 把 零 币 放 到 区 块 链 网 络 上 上 ， 并 且 通 过 消耗 一 个 基础 币 
的 方式 ， 它 才能 具备 价值， 

为 了 儿 造 一 个 去 币 ， 你 需要 使 用 加 密 学 尖 诸 。 回 顾 一 下 我 们 在 第 1 章 讲 过 
的 内 容 ， 承 诺 方 案 类 似 于 将 一 个 但 放 入 一 个 信封 ,并 将 信封 置 于 所 有 人 的 视野 
中 ( 见 图 6.11)。 








图 6.11 一 个 序列 号 的 承诺 
注 : 密码 学 承诺 好 比 把 一 个 序列 号 封装 到 一 个 信封 里 。 
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铸造 零 币 的 过 程 分 为 三 步 : 

1. 生成 一 个 序列 号 S 和 一 个 随机 密 钥 r。 

2. 计算 一 个 函数 Commit (S，r) ， 这 是 序列 号 S$ 的 承诺 。 

3. 如 图 6. 12 所 示 ， 在 区 块 链 上 发 布 该 承诺 ， 这 需要 消耗 一 个 基础 币 ， 此 币 
不 可 再 被 花费 ， 进 而 创建 了 一 个 零 币 。 此 时 并 S 和 仍然 是 保密 的 。 





图 6.12 在 区 块 链 网 络 上 设置 一 个 零 币 

注 : 为 了 将 一 个 零 币 壮 于 区 块 链 中 ， 需 要 创建 一 个 铸币 交易 ， 其 输出 地 址 是 零 币 序列 号 的 一 个 

密码 承诺 ， 而 铸币 交易 的 输入 则 是 一 个 基础 币 ， 这 个 基础 币 也 会 在 创建 零 币 的 过 程 被 消耗 
掉 ， 整 个 交易 过 程 并 不 需要 公示 这 个 序列 号 ， 

为 了 消耗 一 个 零 币 并 赎 回 新 的 基础 币 ， 你 需要 证 明 你 之 前 已 经 铸造 了 一 个 
零 币 ， 你 可 以 通过 公开 之 前 的 承诺 也 就 是 说 公示 S 和 1r 的 值 来 证 明 这 一 点 ,但 是 
这 样 显然 就 建立 了 一 个 你 的 旧 的 基础 币 和 新 的 基础 币 之 间 的 关联 ， 那 么 我 们 怎 
样 才 能 打破 这 个 关联 呢 ” 这 个 时 候 就 用 到 零 知识 验证 了 ， 在 任何 时 间 节 点 ， 区 
块 链 网 络 上 都 有 很 多 的 承诺 对 象 一 一 我 们 将 其 命名 为 cl ，cs ，:…，cn 

以 下 是 消耗 一 个 具有 序列 号 S 的 去 币 以 赎 回 一 个 新 基础 币 的 步骤 : 


。 创建 一 个 特殊 的 “花费 ”交易 ， 这 个 交易 包含 序列 号 S 和 一 个 具备 零 知 
识 验证 的 声明 : “我 知道 在 承诺 对 象 (S, r) 中 的 r+ 在 以 下 的 集合 里 : 
fy 

。 及 工 将 会 验证 你 的 雯 知识 验证 ， 这 将 给 予 你 打开 区 块 链 中 一 个 零 币 承诺 
的 能 力 ， 而 你 并 不 需要 中 的 打开 它 。 

。 及 工 也 会 查询 序列 号 S$， 确 认 这 个 零 币 没有 在 之 前 的 花费 交易 中 被 使 用 
过 (为 了 防止 双重 消费 )。 

。 你 的 花费 交易 的 输出 将 形成 一 个 新 的 鹤 币 ， 你 应 使 用 你 所 拥有 的 一 个 地 
址 来 作为 输出 地 址 。 
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图 6.13 花费 一 个 零 币 
注 : 花费 交易 展示 了 之 前 铸币 交易 中 所 锁定 的 序列 号 S， 以 及 S 和 之 前 的 铸币 交易 的 关联 性 的 堆 
知识 验证 。 不 像 一 个 铸币 交易 (或 者 一 个 普通 的 比特 币 / 基 础 币 的 交易 )， 这 个 花费 交易 没 
有 输入 地 址 ， 因 此 也 没有 签名 ， 只 有 一 个 零 知识 验证 的 证 明 来 确立 它 的 有 效 性 。 


一 且 你 花费 了 一 个 零 币 ， 其 序列 号 就 变 得 公开 了 ， 那 么 你 就 不 能 再 次 赎 回 
同一 个 序列 号 所 对 应 的 零 币 ， 由 于 每 一 个 零 币 都 仅 有 唯一 的 序列 号 ， 正 如 我 们 
从 安全 角度 所 要 求 的 那样 ， 每 一 个 零 币 只 能 被 花费 一 次 。 

匿名 性 。 在 整个 过 程 中 ,我 们 可 以 发 现 r 一 直 是 保持 隐匿 状态 ,不管 是 铸币 
交易 还 是 花费 交易 都 没有 展示 过 r， mad 首 哪 一 个 序列 号 对 应 哪 一 
个 具体 的 零 币 ， et 。 在 区 块 链 上 ， 生 成 序列 号 S 
的 铸币 交易 和 稍 后 公示 S 以 屿 i 并 没有 关联 性 。 这 
ip 但 在 密码 学 中 
是 可 以 做 到 的 。 好 比 我 们 在 桌 上 放 了 一 些 装 有 不 同 序列 号 的 密封 过 的 信封 ， 你 
可 以 证 明 某 一 个 序列 号 是 这 些 信封 里 面 的 一 个 ， 而 不 需要 展示 是 哪 一 个 ， 也 不 
需要 打开 任何 一 个 信封 。 

效率 。 回 忆 一 下 我 们 在 花费 交易 中 证 明 过 的 一 个 声明 : 

“我 知道 在 承诺 对 象 ($S，r) 中 的 r+ 在 以 下 的 集合 里 : = Jo, 6c, …, Cc,1”。 
其 中 ,，n 代表 的 就 是 曾经 被 创建 过 的 零 币 的 数量 。 听 起 来 这 种 零 知 识 验证 的 实施 
会 变 得 非常 没有 效率 ， 因 为 证 明 中 包含 的 集合 大 小 会 随 着 n 的 增加 而 线性 增 大 。 
神奇 的 是 ， 零 币 可 以 让 这 种 验证 的 复杂 度 仅 仅 是 n 的 对 数 。 我 们 需要 注意 到 这 
一 点 ， 即 使 需要 被 验证 的 声明 的 长 度 是 线性 的 ， 声 明 本 身 并 不 需要 被 包括 在 证 
了 明 里 ， 而 是 隐 含 的 。 由 于 矿工 们 知道 区 块 链 上 所 有 有 零 币 的 集合 ， 声 明 就 可 以 被 
矿工 们 自行 推断 出 来 。 这 样 证 明 本 身 就 可 以 非常 短 。 尽 管 如 此 ， 跟 比特 币 相 比 
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较 ， 零 币 还 是 增加 了 相当 大 的 额外 开销 ， 大 概 50KB。 


建立 信任 
于 搭建 零 币 的 工具 之 一 (RSA 累加 需 ) 需要 进行 一 次 性 信任 设置 。 特 别 
的 是 ， 一 个 被 信任 方 需要 选择 两 个 大 的 质数 p 和 q， 并 且 公 示 N=pxdq 作 为 所 
OE 
过 它 被 用 于 所 有 的 零 币 而 不 是 仅仅 对 应 于 某 一 个 体 。 只 要 这 个 被 信任 方 ， 销 毁 
任何 关于 p 和 9q 的 记录 ， 系 统 就 可 以 被 认为 是 安全 的 。 需 要 强调 的 是 ， 这 一 做 
法 是 基于 对 两 个 大 质数 的 积 进行 因子 分 解 是 不 可 行 的 这 一 假设 的 普遍 认可 。 但 
是 ， 如 果 任 何人 知道 了 秘密 的 因数 p 和 9q (也 被 称 为 “陷阱 门 ”)， 他 们 就 可 以 
在 不 被 监测 到 的 情形 下 ， 为 自己 创建 新 的 零 币 。 所 以 ， 这 些 秘密 的 输入 只 能 被 
使 用 一 次 ， 在 用 于 产生 相对 应 的 公 钥 后 就 被 销毁 。 
这 里 有 一 个 有 趣 的 社会 学 问题 ， diene ddim 
相信 ， 在 设置 时 使 用 的 相对 应 的 质数 p 和 9q, 已 经 被 安全 地 销毁 了 了， 这 一 过 程 还 
yep ote on -峰值 加 
密 ” 技术 ， 该 技术 可 使 用 多 个 代理 协同 计算 出 N， 而 只 要 其 中 一 个 代理 将 自己 
的 秘密 输入 销毁 ， 这 个 系统 就 可 以 被 认为 是 安全 的 。 
en 
特别 是 ， 有 实践 表明 ， 随 机 生成 一 个 大 数 就 具有 很 高 的 安全 性 ， 因 为 这 样 一 
数字 很 有 可 能 不 能 被 完 pe 
因此 这 种 方法 并 不 实用 。 


零 钞 
去 钞 是 一 种 不 同 的 匿名 性 加 密 数 字 人 货币 ， 它 建立 在 零 币 的 概念 之 上 ， 但 将 
加 蜜 技术 提高 到 了 更 高 的 层次 。 零 钞 使 用 的 是 一 种 被 称 为 xk-SNARKSYD 的 密码 


D zk-SNARK 的 全 称 是 zero knowledge Succinct Non-interactive ARgument of Knowledge， 是 近年 兴起 的 一 
种 密码 学 方法 。Snark 在 英文 中 本 就 有 鬼魅 的 含义 ， 用 到 这 个 技术 上 倒 也 有 几 分 神似 。 一 一 译 者 注 
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学 技术 ， 这 种 技术 可 以 使 得 零 知 识 验 证 更 加 简洁 、 更 加 有 效率 ， 要 点 萄 在 于 ， 
系统 的 整体 效率 可 以 达到 某 一 定 程 度 ， 使 得 整个 网 络 可 以 不 需要 依赖 一 种 基础 
币 而 运行 ， 所 有 的 交易 都 可 以 以 零 知 识 验证 的 方式 进行 。 如 我 们 所 看 到 的 ， 堆 
币 也 支持 那些 本 不 需要 无 关联 性 的 普通 交易 ， 只 不 过 在 其 上 做 了 计算 量 早 贵 的 
混 币 交易 进行 补充 。 这 种 混 币 交 易 由 固定 面值 的 数字 币 组 成 ， 交 易 价值 的 拆 分 
与 合并 只 能 在 基础 币 系统 里 实现 。 在 零 钞 系统 中 ， 这 种 差异 就 不 存在 了 ， 交 易 
金额 的 大 小 被 封装 在 一 个 承诺 中 ， 在 区 块 链 上 不 再 可 见 ， 密 人 码 学 证 据 确 保 了 拆 
分 与 合并 的 正确 性 ,用 户 并 不 能 凭空 创造 出 零 钞 。 

账本 公开 记录 的 唯一 内 容 就 是 交易 的 存在 性 ， 以 及 矿工 们 用 来 验证 系统 正 
常 运 行 所 需要 的 关键 属性 的 证 明 。 区 块 链 网 络 上 既 不 显示 交易 地 址 ， 也 不 显示 
交易 价值 。 唯 一 需要 知道 交易 金额 的 用 户 ， 是 本 次 交易 的 发 送 方 和 接收 方 ， 矿 
工 们 是 不 需要 知道 的 。 当 然 ， 如 果 其 中 存在 交易 费用 ， 矿工 们 则 需要 知道 的 仅 
仅 是 手续 费 ， 这 和 点 也 不 会 影 啊 医 名 保护 。 

就 匿名 性 和 隐私 性 来 说 ， 堆 钞 这 种 完全 不 可 退 蹊 的 交易 系统 目 成 门派 。 因 
为 公开 账本 并 不 包含 交易 金额 ， 零 钞 对 针对 混 币 服务 的 劳 路 攻击 是 免疫 的 。 


建立 零 钞 系统 

按照 技术 属性 来 说 ， 零 钞 看 起 来 好 得 有 点 不 真实 。 其 实 它 确实 也 有 自己 
的 命 门 。 就 像 零 币 ， 零 钞 也 需要 一 个 “公开 参数 ”来 设置 这 个 零 知 识 验证 系 
统 。 但 是 不 同 于 只 需要 一 个 几 百 个 字 节 长 度 的 数字 N 的 零 币 ， 零 钞 需 要 的 是 
一 个 很 大 的 公开 参数 集 一 一 其 大 小 超过 1G 字 节 。 要 再 次 强调 的 是 ， 为 了 生 
成 这 些 公 开 参 数 ， 零 钞 需要 一 组 随机 并 且 秘 密 的 输入 。 如 果 任 何人 知道 了 
这 些 秘密 输入 ， 就 会 产生 无 法 监测 的 双重 消费 问题 ， 从 而 危及 整个 系统 的 
安全 性 。 

在 这 里 ， 我 们 不 会 过 多 地 深入 探讨 设置 一 个 水 -SNARK 系统 所 面临 的 挑战 ， 
这 个 问题 也 是 一 个 比较 活跃 的 研究 方向 ， 但 是 截至 2015 年 ， 我们 并 不 知道 如 何 
在 实际 操作 中 以 足够 稳 受 的 方式 建立 这 个 系统 。 迄 今 为 止 ，zk-SNARK 还 没有 被 
实际 运用 。 
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6 草 


比特 币 和 匿名 性 


综合 比较 ， 融 会 贯通 
现在 ， 让 我 们 从 匿名 性 以 及 实际 的 可 操作 性 两 个 方面 ,来 比较 以 下 我 们 所 
探讨 的 这 些 方案 ， 见 表 6. 1。 


表 6.1 本 章 所 讨论 的 匿名 技术 的 比较 


系统 类 型 对 匿名 性 的 攻击 可 部 署 性 
比特 币 化 名 交易 图 谱 分 析 默认 系统 
a , 交易 图 谱 分 析 ， 恶 意 的 混 币 服 ， ，， 
Ee a 务 提供 商 , 恶意 的 混 币 对 手 方 。 “做 全 省 
多 重 混 币 / 旁 路 攻击 ， 恶 意 的 混 币 服务 提 。”，,、，,， 
合 币 供 商 , 恶意 的 混 币 对 手 方 Ce 
零 币 加 密 混 币 。。 旁 路 攻击 (存在 可 能 性 ) 另类 币 , 需 建立 信任 方 
零 钞 不 可 被 跟踪 ”未 知 另类 币 ， 需 建立 信任 方 


我 们 是 从 比特 币 ， 这 个 已 经 成 功 部 署 了 的 “默认 ”系统 开始 的 。 但 比特 币 
只 是 化 名 系统 ， 我 们 看 到 ,强大 的 交易 图 详 分 析 是 可 能 攻击 比特 币 的 匿名 性 的 
一 种 可 行 办 法 。 我 们 也 探讨 了 聚集 大 量 地 址 复方 式 ， 以 及 如 何 关 联 真 实 世 界 的 
身份 到 这 些 地 址 复 的 方法 。 

匿名 化 技术 的 下 一 等 级 ， 是 用 人 工 的 方式 实现 一 个 单一 混 币 交易 ， 或 者 通 
过 人 工 找 交易 对 手 的 方式 来 实现 合 币 交易 ， 这 会 使 输入 地 址 和 输出 地 址 之 间 的 
关联 变 得 模糊 ， 但 同时 也 会 在 交易 图 谱 中 留 下 了 太 多 的 线索 。 除 此 之 外 ， 混 币 
服务 提供 商 和 参与 节点 也 可 能 是 恶意 的 ， 或 者 因为 被 黑客 攻击 的 ， 或 者 被 胁迫 
公布 记录 的 。 即 使 从 匿名 性 来 说 离 完 美 还 很 带 远 , 但 混 币 服务 在 现实 中 存在 ， 
并 且 是 现今 一 个 可 用 的 选项 。 

我 们 讨论 的 第 三 个 等 级 的 匿名 性 ， 是 混 币 服务 链 或 者 合 币 交 易 。 这 种 匿名 
性 上 的 改进 ， 来自 更 少 的 对 于 混 币 服务 提供 商 或 者 节点 组 的 依赖 。 诸 如 标准 化 
的 交 匈 区 块 大 小 和 客户 端的 自动 化 等 特性 ， 可 以 最 小 化 信息 泄露 的 可 能 性 ， 但 
征 还 定 有 一 些 劳 路 风险 可 能 会 存在 。 同 时 ， 也 还 是 存在 一 些 攻击 者 可 能 控制 或 
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者 勾结 多 个 混 币 服务 商 与 参与 节点 而 带 来 的 风险 。 实 现 市 有 混 币 服务 链 功 能 的 
钱包 和 服务 在 技术 上 是 可 行 的 并 且 应 该 会 被 用 户 所 接受 ， 但 是 据 我 们 所 知 ， 一 
个 安全 的 混 币 链 解 决 方案 还 不 存在 。 

接 下 来 ,我们 探讨 了 把 加 密 技 术 直 接应 用 到 协议 层 并 提供 匿名 化 的 数学 
保证 的 零 币 。 nia ae 还 是 存在 的 ,但 是 明显 已 经 优 于 
其 他 的 混 币 解 决 方案 。 不 过 ， 容 币 需 要 作为 相对 于 比特 币 的 一 种 为 类 币 的 方 
2 民生。 

最 后 ， 我 们 探讨 了 去 钞 。 通 过 效率 上 的 改进 ， 零 钞 可 以 作为 一 个 完全 无 法 
追踪 不 仅仅 是 匿名 化 一 一 的 加 密 数 字 贷 币 。 然 而 ， 就 像 零 币 一 样 ， 零 钞 和 
比特 币 并 不 兼容 ， 更 糟糕 的 是 ， 零 钞 需 要 一 个 非常 复杂 的 建立 流程 ， 数 字 币 领 
域 仍 然 在 研究 如 何 用 最 好 的 方式 来 实现 它 。 

在 本 章 中 ， 我 们 讨论 了 很 多 技术 。 现 在 让 我 们 退 一 步 看 ， 比 特 币 的 匿名 性 
(或 者 匿名 潜力 ) 是 强大 的 ， 当 和 其 他 一 些 技术 配合 的 时 候 会 更 加 强大 ， 尤 其 是 
在 匿名 通信 方面 。 如 我 们 在 第 7 草 中 将 要 讨论 的 ， 这 是 一 些 匿 名 在 线 市 场所 使 
用 的 强 有 力 的 技术 组 合 方式 。 

尽管 颈 名 化 技术 是 强大 的 ,但 同时 也 是 脆弱 的 。 一 个 错误 就 可 能 造成 一 
个 我 们 不 希望 看 到 的 , 但 叉 是 不 可 逆 的 关联 。 匿 名 化 有 一 些 显 而 易 见 的 有 害 
应 用 ， 但 同时 也 存在 很 多 有 益 的 应 用 ， 所 以 是 值得 保护 的 。 虽 然 道 德 层 面 上 
的 区 分 很 重要 ， 我 们 还 是 无 法 在 技术 层面 清楚 地 辨识 。 匿 名 技术 看 起 来 具有 
深入 的 和 固有 的 道德 模糊 性 ， 作 为 人 类 社会 的 一 员 ， 我 们 必须 学 会 怎么 面 对 
这 个 现实 。 

和 关于 比特 币 的 道德 争论 一 样 ， 比 特 币 的 匿名 性 也 是 一 个 很 活跃 的 技术 
创新 领域 。 我 们 仍然 不 知道 比特 币 的 哪 一 种 匿名 系统 ， 如 果 存 在 的 话 ， 将 会 
脱 疾 而 出 成 为 主流 。 这 也 将 是 每 一 个 人 的 机 会 不 管 你 是 一 个 开发 者 、 一 
个 政策 制定 者 ， 还 是 一 个 普通 用 户 一 一 每 个 人 都 可 以 参与 其 中 并 做 出 贡献 ， 
厦 望 你 在 本 曹 中 里 所 学 到 的 内 容 ， 可 以 为 你 提供 一 些 正 确 的 背景 知识 去 采取 
行动 。 
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第 6 章 
比特 币 和 匿名 性 


延伸 阅读 


与 前 面 几 章 中 讨论 的 主题 相 比 ， 匿 名 技术 在 更 快 地 持续 发 展 中 ， 并 且 是 加 


密 数字 货币 研究 领域 中 更 活跃 的 一 个 课题 。 想 要 跟 上 这 个 领域 中 最 新 的 进展 ， 
可 以 阅读 以 下 列举 的 论文 ， 以 及 引用 其 他 论文 。 


关于 交易 图 谱 分 析 的 《一 簇 比特 币 》: 

Meiklejohn, Sarah, Marjori Pomarole, Grant Jordan, Kirill Levchenko, Damon 
McCoy, Geoffrey M. Voelker, and Stefan Savage. “A Fistful of Bitcoins: Char- 
acterizing Payments among Men with no Names.” ln Proceedings of the 2013 con- 


ference on Internet measurement, New York: ACM, 2013. 


关于 我 们 讨论 的 混 币 技术 和 有 效 混 币 原 则 的 来 源 的 人 研究 : 

Bonneau, Joseph, Arvind Narayanan, Andrew Miller, Jeremy Clark, Joshua 
A. Kroll, and Edward W. Felten. “ Mixcoin: Anonymity for Bitcom with Ac- 
countable Mixes. ” In Financial Cryptography and Data Security. Berlin: Spring- 


er ,2014. 


混 币 服务 实践 研究 ， 其 中 很 多 种 并 没有 很 好 的 声誉 : 
Miser Malte, Rainer Bohme, and Dominic Breuker. “An Inquiry into Money 


Laundering Tools in the Bitcom Ecosystem. In 2073 eCrime Researchers Summait. 


Washington, DC: IEEE, 2013. 


比特 币 论 坛 里 ， 比 特 币 核心 开发 者 格雷 大 殉 斯 书 (Greg Maxwell) 发 布 的 


有 关 合 币 的 内 容 : 


四 ， 


Maxwell, Gregory. “CoinjJoin : Bitcom Privacy for the Real World. ” Bitcoin Fo- 
rum ,2013. 下 载 地 址 https: A//bitcointalk. org/index. php? topic =279249. 0. 


来 日 约翰 霍 普 金 斯 大 学 (Johns Hopkins University) 的 密码 学 者 开发 了 者 
请 记 住 去 币 和 和 雪 钞 是 这 本 书 里 我 们 讨论 过 的 最 复杂 的 加 密 技术 : 
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Miers ，Ian ，Christina Garman, Matthew Green, and Aviel D. Rubin. “ Zero- 
coin: Anonymous Distributed E-Cash from Bitcoin. ” In Proceedings of the 2013 


IEEE Symposium on Security and Privacy. Washington, DC: IEEE, 2013. 


零 币 的 作者 和 其 他 一 些 开 发 了 SNARK 技术 的 研究 者 共同 开发 了 零 钞 系统 : 
Ben Sasson, Eli, Alessandro Chiesa, Christina Garman, Matthew Green, I[an 
Miers, Eran Tromer, and Madars Virza. “Zerocash: Decentralized Anonymous 
Payments from Bitcoin.” In Proceedings of the 2013 IEEE Symposium on Securily 
and Privacy. Washington, DC: IEEE, 2013. 
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在 本 章 中 ,我们 将 研究 比特 币 世 界 和 数字 加 密 货币 拉 术 是 如 何 影响 世界 的 ， 
并 探讨 比特 币 社 区 的 内 部 政治 以 及 比特 币 是 如 何 与 传统 政治 ， 即 执法 和 监管 问 
题 互 相 影 啊 的 。 


7.1 关于 比特 币 的 共识 


首先 ， 让 我 们 看 一 下 在 比特 币 问题 上 已 达成 的 共识 ， 它 是 比特 币 运 行 的 基 
础 。 为 使 比特 币 顺畅 运行 ， 人 们 必须 就 以 下 三 个 问题 达成 共识 : 

1. 关于 规则 的 共识 。 这 里 所 说 的 规则 是 指 包 括 确保 交易 或 区 块 有 效 的 机 制 ， 
及 比特 币 运 行 时 涉及 的 核心 协议 和 数据 格式 等 内 容 。 人 们 需要 就 这 些 规则 达成 
共识 ,这 样 ， 比 特 币 系统 中 的 所 有 参与 者 才能 就 发 生 的 情况 相互 沟通 并 达成 
协议 。 

2. 关于 历史 记录 的 共识 。 也 就 是 说 ， 参 与 者 必须 对 区 块 链 的 内 容 ， 包 括 哪 
些 是 属于 区 块 链 ,哪些 是 不 属于 区 块 链 的 内 容 达 成 共识 ， 这样， 人 们 才能 就 如 
何 确认 已 发 生 的 交易 达成 共识 。 在 此 基础 上 ， 人 们 就 可 以 对 比特 币 、 未 动用 产 
出 的 数额 及 拥有 人 达成 共识 。 这 一 共识 源 目 区 块 链 的 创建 过 程 和 使 各 个 节点 对 
区 块 链 内 容 的 理解 达成 一 致 的 过 程 ， 我 们 已 经 在 第 1 章 和 第 2 章 中 对 这 些 过 程 
进行 了 描述 。 这 是 比特 币 中 最 常用 且 技 术 上 最 复杂 的 一 种 共识 。 

3. 关于 比特 币 价值 的 共识 。 第 三 种 共识 要 求人 们 普遍 认为 比特 币 是 有 价值 


ww ai bbt.com DODODDDDOD 





0 
ti 


” ”区 块 链 ， 技术 驱动 金融 


的 ， 比 如 ， 如 果 有 人 今天 给 了 你 一 个 比特 币 ， 你 明天 就 能 够 将 它 兑 现 或 用 它 换 
取 到 有 价值 的 东西 。 任 何 一 种 货币 ,不 管 是 像 美 元 这 样 的 法 定货 币 ， 还 是 像 比 
特 币 一 样 的 数字 加 密 货 币 ， 赖 以 存在 的 基础 都 是 其 具有 价值 的 共识 。 也 就 是 说 ， 
人 们 普遍 接受 可 以 用 它 进行 交易 ， 在 现在 或 未 来 可 以 用 它 换取 其 他 有 价值 的 
东西 。 

对 于 法 定货 币 ， 第 三 种 共识 是 唯一 的 共识 。“ 货币 有 价值 ”这 一 共识 不 是 由 
规则 决定 的 ， 法 律 规定 了 它 是 不 是 钞票 。 历 史记 录 并 不 重要 ,但 是 状态 很 重 
要 一 一 谁 拥有 什么 。 状 态 由 物质 占有 (如 持 有 现金 ) 或 专业 记录 (如 银行 ) 来 
决定 。 然 而 ， 对 于 数字 加 密 货币 ， 人 们 还 需要 对 规则 和 历史 记录 达成 共识 。 

对 于 比特 币 ， 与 其 他 共识 不 同 的 是 ， 这 第 三 种 共识 具有 一 定 的 循环 性 。 即 ， 
我 相信 我 今天 收 到 的 比特 币 是 有 价值 的 ， 这 取决 于 我 布 望 明 天 收 到 这 个 比特 币 
的 人 同样 相信 它 的 价值 。 因 此 ， 对 价值 共识 的 基础 在 于 对 价值 延续 性 的 共识 。 
这 有 时 被 称 为 “仙子 效应 ” (Tinkerbell effect) ， 这 个 名 字 来 源 于 童话 故事 《 彼 
得 潘 》， 仙 子 之 所 以 存在 ， 是 因为 你 相信 她 存在 。 

不 论 是 否 循 环 ， 对 于 价值 的 共识 都 是 存在 的 ， 这 对 比特 币 系 统 的 运行 至 关 
重要 。 而 且 ， 还 有 很 重要 的 一 点 是 ， 这 三 种 共识 相互 关联 ， 如 图 7. 1 所 示 。 
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关于 比特 币 价值 的 共识 


关于 历史 记录 的 共识 


图 7.1 关于 比特 币 的 三 种 共识 之 间 的 关系 


自 先 ， 对 规则 与 对 历史 记录 的 共识 相互 依赖 。 如 果 不 知道 哪些 区 块 是 有 效 
的 ， 也 就 无 法 对 区 块 链 达 成 共识 。 如 果 不 能 对 区 块 链 中 有 哪些 区 块 达成 共识 ， 
也 就 无 法 判断 交易 是 否 有 效 ， 进 而 无 法 判断 有 没有 双重 支付 的 企图 。 

对 历史 记录 和 对 比特 币 价值 的 共识 也 紧密 相关 。 对 历史 记录 的 共识 意味 着 
我 们 同意 谁 拥有 哪些 比特 币 ， 这 是 比特 币 具 有 价值 的 先决 条 件 一 一 例如 我 拥有 
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一 个 比特 币 ， 如 果 不 能 通过 历史 记录 对 此 达成 共识 ,我 就 不 能 指望 将 来 条 一 天 
我 会 把 这 个 比特 币 付 给 某 人 换取 其 他 东西 。 反 之 亦 然 一 一 在 第 2 章 我 们 讨论 过 ， 
对 比特 币 具 有 价值 的 共识 ， 激 励 着 矿工 维护 区 块 链 的 安全 ， 这 又 促使 我 们 对 历 
史记 录 达 成 共识 。 

比特 币 原始 设计 的 天 才 之 处 就 在 于 ， 它 意识 到 靠 自 己 本 和 映 很 难 达成 这 三 种 
共识 的 任何 一 种 。 在 一 个 没有 身份 概念 的 、 去 中 心 化 、 全 世界 范围 内 运行 的 系 
统 中 ， 要 达成 关于 规则 的 共识 是 不 可 能 的 。 

类 似 地 ， 对 历史 记录 的 共识 是 一 个 复杂 的 分 散 式 数据 结构 问题 ， 很 难 徘 日 
己 解 决 。 此 外 ， 对 某 种 数字 加 密 货 币 具 有 价值 的 共识 也 很 难 达成 。 但 比特 币 的 
设计 以 及 运行 模式 表明 ， 尽 管 无 法 靠 系统 本 身 达 成 这 三 种 共识 中 的 任意 一 种 ， 
不 过 可 以 通过 某 种 方式 将 这 三 种 共识 组 合 在 一 起 ， 并 让 它们 以 一 种 相互 依存 的 
方式 发 挥 作用 。 因 此 ， 在 讨论 比特 币 社区 的 运作 模式 时 ， 我们 必须 牢记 ， 比 特 
币 系 统 的 运行 取决 于 参与 者 的 共识 ,而 且 这 种 共识 是 十 分 脆弱 的 ， 交 织 着 各 种 
技术 和 社交 元 床 。 





7.2 比特 币 核心 钱包 软件 


比特 币 核 心 钱包 (bitcoin core) 是 一 球 开 源 软 件 ， 是 对 比特 币 规则 进行 讨 
论 和 争议 的 焦点 。 这 于 软件 由 极为 宽松 的 开源 (open source) 许可 证 一 一 MIT 
许可 证 认证 。 只 要 注 明 版 权 声明 和 许可 声明 ， 就 可 以 将 该 软件 用 于 各 种 用 途 。 
比特 币 核 心 钱 包 是 目前 运用 最 为 广泛 的 一 于 比特 币 软 件 。 即 便 不 利用 它 进行 
软件 开发 ， 许 多 人 也 会 通过 研究 它 来 了 解 比特 币 的 规则 。 在 构建 其 他 比特 
币 软 件 时 ， 和 人们 会 借鉴 其 规则 定义 部 分 的 内 容 ， 包 括 判 定 交 易 和 区 块 的 有 
过 性 


比特 币 核心 钱包 实际 是 比特 币 的 规则 手册 。 通 过 研究 比特 币 核心 钱包 及 其 
相关 解释 ， 可 以 了 解 到 在 比特 币 系 统 中 真正 有 效 的 内 容 。 
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比特 币 改 进 方 案 

任何 人 都 可 以 通过 “提交 请 求 ” (pull requests) 按钮 ， 帮 助 比特 币 核心 钱 
包 进 行 技术 改进 ， 这 一 过 程 在 开源 软件 (open-source software) 志 界 极为 第 见 。 
若 想 对 软件 进行 更 大 的 改动 ， 特 别 是 对 协议 进行 修改 ， 则 可 以 通过 一 个 较为 正 
式 的 叫 作 比 特 币 改进 方案 (Bitcoin Improvement Proposal ， 人 简称 BIP) 的 流程 来 实 
现 。 因 此 ， 如 果 你 有 意 通 过 技术 改变 来 改进 比特 币 ， 你 可 以 把 你 的 想法 写 下 来 ， 
根据 比特 币 改 进 方 案 的 要 求 ， 与 其 他 文件 一 起 公开 发 表 。 这 会 触发 比特 币 社 区 
就 你 的 方案 进行 讨论 ， 并 决定 下 一 步行 动 。 虽 然 任何 人 都 可 以 提交 正式 方案 ， 
但 正如 所 有 开源 项 目 (open-source project) 一 样 ， 这 存在 学 习 曲 线 。 

BIP 以 编号 序列 形式 发 布 ， 每 项 方案 有 一 名 拥护 者 ， 负 责 宣传 方案 、 协 调 讨 
论 活动 并 努力 促成 方案 在 比特 币 社区 向 前 顺利 开展 或 实施 。 

我 们 上 面 所 说 的 内 容 适 用 于 对 技术 更 改 的 方案 。 事 实 上 ， 也 存在 一 些 BIP， 
或 者 只 是 为 了 提供 信息 ， 传 播 关 于 比特 币 的 知识 ; 或 者 将 之 前 仅 在 源 代 码 中 明 
确 的 部 分 代码 进行 标准 化 。 而 其 他 一 些 BIP 侧重 流程 ， 讨 论 比特 币 社区 如 何 决 
策 事项 。 

总 之 ， 除 了 包含 规则 手册 中 的 内 容 外 ，BIP 还 包含 方案 、 制 定 和 讨论 规则 变 
更 的 流程 。 


比特 币 核心 钱包 开 友 人 员 

要 了 解 比 特 币 核心 钱包 的 作用 ,我们 需要 了 解 比特 币 核心 钱包 开发 人 员 所 
发 挥 的 作用 。 原 始 代码 的 作者 是 中 本 聪 (Satoshi Nakamoto) ， 我 们 在 7.4 节 还 会 
介绍 。 现 在 ， 中 本 陪 本 人 已 经 不 再 活跃 ， 但 还 有 一 群 开 发 人 员 在 维护 着 软件 。 
有 数 白 名 开发 者 在 为 这 个 项 目 写 代码 , 但 只 有 少数 几 个 人 拥有 对 核心 钱包 数据 
库 的 “调配 ”(commit) 权限 。 这 些 核心 钱包 的 首席 开发 人 员 持 续 维护 该 软件 ， 
并 决定 哪些 新 代码 可 以 加 入 软件 新 版 本 中 。 

这 些 人 的 权力 有 多 大 ? 从 采种 意义 上 说 ， 他 们 的 权力 是 很 大 的 ， 因 为 他 们 
对 代码 做 出 的 规则 改变 终 将 呈现 在 比特 币 核心 钱包 中 ， 这 些 规则 会 默认 被 遵守 。 
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这 些 人 写 下 比特 币 事实 上 的 规则 手册 。 但 从 另 一 个 角度 来 看 ， 他 们 根本 就 没有 
什么 权力 。 因 为 这 是 一 款 开源 软件 ， 任 何人 都 可 以 复制 、 修 改 它 (随时 创建 一 
个 比特 币 分 又 )。 因 此 ， 如 果 首 席 开 发 人 员 的 表现 不 被 社区 接受 ， 社 区 可 能 走 问 
不 同 的 方向 。 

可 以 这 么 想 ， 首 席 开 发 人 员 就 像 在 引领 游行 队伍 前 进 。 他 们 在 队伍 的 最 前 
面 ， 当 他 们 拐弯 时 ， 队 伍 一 般 会 跟着 他 们 抛 弯 。 但 是 如 果 他 们 试图 把 队伍 市 和 人 
灾难 性 的 境地 ， 那 么 队伍 中 的 其 他 成 员 可 能 会 选择 不 同 的 方向 。 这 些 首 席 开 发 
人 员 可 以 敦促 社区 , 但是， 如 果 他 们 试图 把 系统 禹 入 不 被 社区 接受 的 技术 方 癌 ， 
他 们 并 没有 正式 的 权力 ， 来 迫使 人 们 跟随 他 们 。 

现在 来 思考 一 下 ， 作 为 系统 的 使 用 者 ， 如 果 你 不 喜欢 它 的 规则 或 系统 运行 
的 方式 ， 能 够 做 些 什么 ， 并 与 集中 式 货 币 ( 如 法 定货 币 ) 进行 比较 。 在 集中 式 
货币 系统 中 ,如果 有 异议 ,你 有 权 退 出 ， 也 就 是 说 ,你 可 以 不 用 它 。 你 必须 想 
办 法 把 持 有 的 货币 卖 出 ， 然 后 移居 到 使 用 男 一 种 贷 币 的 地 方 。 有 了 集中 式 贷 

退出 是 你 的 唯一 选择 。 

在 比特 币 系 统 ， 你 当然 也 有 权 退 出 ， 但 是 ， 因 为 它 作 为 开源 系统 (open- 
source system) 运行 ， 你 就 有 了 对 规则 进行 分 叉 的 权利 。 也 就 是 说 ， 人 你、 你 的 朋 
友和 同事 可 以 选择 运行 一 套 不 同 的 规则 ， 而 且 ， 通 过 对 规则 进行 分 又 ， 走 向 与 
首席 开发 人 员 不 同 的 方向 。 与 退出 相 比 ， 分 又 赋予 用 户 更 多 的 权力 ， 像 比特 币 
这 样 开源 系统 的 社区 比 完全 集中 系统 的 社区 拥有 更 多 权力 。 所 以 ， 虽 然 首 席 开 
发 人 员 看 似 一 个 拥有 控制 权 的 集权 式 实 体 ， 事 实 上 ， 他 们 并 不 拥有 一 个 完全 集 
权 式 管理 人 员 或 软件 所 有 者 所 拥有 的 权力 。 


规则 分 又 

创建 软件 分 文 或 规则 分 又 的 一 种 方式 是 ， 以 新 的 创 世 区 块 创 建新 的 区 块 链 。 
人 们 经 稼 通过 这 种 方式 来 创建 邦 类 币 ， 我 们 将 在 第 10 章 谈 到 这 个 问题 。 现 在 ， 
我 们 来 谈 谈 对 规则 的 为 一 种 分 义 ， 这 种 分 又 不 仅 对 规则 进行 分 义 ， 还 对 区 块 链 
进行 分 又 。 

在 第 3 草 中 ， 我 们 谈 到 了 和 硬 分 又 和 软 分 又 之 间 的 区 别 ， 这 里 我 们 谈 的 是 硬 
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分 叉 。 当 对 规则 有 分 歧 时 ， 区 块 链 中 会 有 分 又 ， 导 致 两 个 分 支 。 其 中 一 个 分 支 
在 规则 A 下 有 效 ， 而 在 规则 B 下 无 效 ， 反 之 亦 然 。 矿 工 一 旦 在 两 种 不 同 的 规则 
下 操作 ， 他 们 就 无 法 合并 到 一 起 ， 因 为 每 个 分 支部 将 包含 在 为 一 规则 下 无 效 的 
交易 或 区 块 。 见 图 7. 2。 


人 货 有 币 A »9 






在 规则 A 下 有 效 ， 
规则 B 下 无 效 







“比特 币 ” 


在 规则 B 下 有 效 ， 
规则 A 下 无 效 


“货币 B” 


图 7.2 货币 中 的 分 又 

注 : 如 果 规 则 的 分 又 导致 区 块 链 的 硬 分 又 ， 那 么 货币 本 身 就 会 分 又 成 两 种 新 货币 ， 

我 们 可 以 把 分 叉 前 的 赁 币 看 作 比 特 币 ， 深 受 人 们 认同 和 喜爱 的 比特 币 。 分 
叉 之 后 ， 出 现 两 种 新 货币 ， 符 合 规则 A 的 货币 A 和 符合 规则 B 的 货币 B。 分 又 
时 ， 每 一 个 持 有 一 个 比特 币 的 人 得 到 一 个 货币 A 和 一 个 货币 B。 分 义 后 ， 贷 币 A 
和 货币 B 开始 分 开 运 行 ， 而 且 它 们 可 能 会 独立 运行 。 这 两 者 的 规则 还 可 能 以 不 
同方 式 继续 发 展 。 

雷 要 强调 的 是 ， 不 仅仅 是 软件 ， 或 规则 ， 或 实现 规则 的 软件 分 又 了 ， 货 
本 身 也 分 又 了 。 这 个 有 趣 的 现象 只 可 能 发 生 加 密 数字 货币 中 ， 却 不 能 发 生 在 传 
统 贷 币 中 ， 因 为 传统 贷 币 并 不 允许 用 户 将 货币 进行 分 义 。 就 目前 我 们 所 了 解 的 
情况 ， 不 管 是 比特 币 还 是 任何 另类 币 ， 尚 未 以 这 种 方式 分 又 过 ， 但 确实 存在 这 
个 奇妙 的 可 能 。 

人 们 会 对 这 样 的 分 又 做 出 何 种 反应 呢 ? 这 取决 于 分 叉 的 原因 到 底 是 什么 。 
第 一 种 情况 是 ， 进 行 分 叉 的 原因 并 不 是 对 规则 存在 异议 ， 而 是 想 创 建 一 种 另类 
币 。 如 采 想 创建 一 种 与 比特 币 规 则 类 似 的 另类 币 ， 有 些 人 会 通过 将 比特 币 的 区 
块 链 分 义 的 方式 来 实现 。 这 对 比特 币 社区 来 说 并 不 构成 真正 的 问题 ， 另 类 币 单 
独 运 行 ， 与 比特 币 主 分 文科 平 共 存 ,， 一些 人 偏好 比特 币 ， 另 一 些 人 更 偏好 男 类 
币 。 但 是 ， 正 如 之 前 我 们 说 过 的 ， 截 至 目前 ,还 没有 人 通过 将 比特 币 或 现 有 男 
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类 币 的 区 块 链 分 又 的 方式 来 创建 新 的 另类 币 ， 他 们 一 般 都 通过 新 的 创 世 区 块 来 
创建 。 

一 个 有 趣 的 情况 是 ， 如 果 分 叉 的 原因 是 人 们 对 比特 币 的 未 来 发 展 存在 分 歧 ， 
换言之 ， 比 特 币 社区 内 部 发 生 叛乱 ， 因 为 一 些 成 员 认 为 自己 对 系统 如 何 运行 有 
了 更 好 的 想法 ,决定 脱 离 出 去 ， 在 这 种 情况 下 ， 两 个 分 支 成 为 对 手 ， 会 争夺 市 
场 份额 。 货 币 A 和 货币 B 都 会 努力 说 服 更 多 商家 接受 它 ， 让 更 多 人 购买 它 。 每 
种 货币 都 想 成 为 “真正 的 比特 币 " 。 它 们 都 声称 自己 是 合法 的 ， 并 将 对 方 描述 成 
一 个 怪 胎 ， 这 可 能 会 引发 一 场 公关 之 战 。 

结果 很 可 能 就 是 某 一 分 支 胜 利 ， 另 一 分 支 则 渐渐 消失 在 人 们 的 视线 中 。 这 
种 类 型 的 竞争 往往 指向 某 一 方向 。 一 旦 人 们 认为 这 两 个 分 支 中 的 某 一 个 更 合法 
并 获得 了 更 大 的 市 场 份额 ， 网 络 效应 会 越 来 越 明显 ， 而 另 一 种 货币 将 成 为 一 种 
利 基 (niche)@ 货币 并 将 最 终 消失 。 获 胜 方 的 规则 和 管理 架构 将 成 为 比特 币 事 
实 上 的 规则 和 管理 架构 。 


7.3 利益 相关 者 : 谁 是 掌权 者 


比特 币 的 利益 相关 者 有 哪些 ”真正 掌权 的 又 是 谁 ? 我 们 已 经 讨论 过 比特 币 
的 基础 是 人 们 对 它 达 成 的 共识 以 及 它 的 规则 手册 是 如 何 编写 而 成 的 ， 分 析 过 分 
义 的 可 能 性 以 及 因为 对 规则 存在 寞 议 而 可 能 引发 的 斗争 ， 那 么 ， 谁 有 权 决 定 斗 
和 争 的 胜利 者 呢 ?” 现 在 我 们 来 谈 谈 这 个 问题 。 

换言之 ， 如 果 比 特 币 社区 存在 关于 规则 设 定 的 讨论 和 谈判 ， 而 谈判 失败 了 ， 
我 们 想 知 道 谁 将 对 最 终结 果 有 决定 权 。 通 常 来 说 ， 在 一 场 谈判 中 ， 对 谈判 协议 
拥有 最 佳 选 择 的 一 方 具 有 优势 。 因 此 ， 搞 清楚 谁 更 有 可 能 获胜 ， 将 帮助 我 们 了 
解 谁 会 在 关于 比特 币 示 来 的 讨论 和 谈判 中 占据 上 风 。 


DD (商业 用 语 ) 是 指针 对 企业 的 优势 细 分 出 来 的 市 场 ， 这 个 市 场 不 大 ， 而 且 没 有 得 到 邻 人 满意 的 服 
务 。 产品 推进 这 个 市 场 ， 有 盘 利 的 基础 。 在 这 里 特 指针 对 性 、 专 业 性 很 强 的 货币 译 者 注 
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我 们 代表 许多 不 同 的 利益 相关 者 做 出 如 下 声明 : 

1. 比特 币 核心 钱包 首席 开发 人 员 拥 有 权力 
人 都 要 使 用 他 们 的 代码 。 

2. 矿工 拥有 权力 一 一 他 们 编写 历史 记录 ， 决 定 哪些 交易 是 有 效 的 。 如 采矿 
工 选择 某 一 套 特定 的 规则 ， 理 论 上 来 说 ， 其 他 人 也 必须 要 遵守 它 。 拥 有 更 强 采 
矿 能 力 的 分 又 将 创建 一 个 更 强大 、 更 安全 的 区 块 链 ， 因此 ， 更 有 能 力 把 规则 朝 
某 一 方向 推进 。 矿 工 到 撒 拥 有 有 多 大 的 权力 取决 于 分 又 是 硬 分 又 还 是 软 分 又 ， 
但 不 管 是 哪 种 分 又 ， 他 们 都 是 拥有 一 定 权 力 的 。 

3. 投资 人 拥有 权力 一 一 他 们 购 闫 并 持 有 比特 币 ， 决定 了 比特 币 是 否 具 有 价 
值 。 可 以 说 ， 开 发 人 员 决 定 了 对 规则 的 共识 ,矿工 决定 了 对 历史 记录 的 共识 ， 
那么 ,投资 人 决定 了 对 比特 币 价值 的 共识 。 在 人 硬 分 又 的 情况 下 ， 如 果 大 多 数 投 
帘 人 决定 把 他 们 的 钱 投入 抽 币 A 或 作 币 B 中 ,那么 该 特定 分 文 就 被 认为 是 合 
法 的 。 

4. 商家 及 其 客户 拥有 权力 一 一 他 们 构成 对 比特 币 的 主要 需求 。 我 们 在 第 4 
草 中 讨论 过 ,虽然 投资 人 能 够 一 定 程度 上 支持 货币 价格 ,但 推 高 货币 价格 的 主 
楼 需求 来 源 于 将 比特 币 作 为 一 种 支付 技术 促成 交易 的 需求 。 因 此 ， 投 资 人 只 是 
对 未 来 比特 币 的 需求 做 出 推测 。 

5. 文 付 服务 商 拥 有 权力 一 一 它们 处 理 交 易 。 许 多 商家 并 不 在 意 它们 使 用 的 
是 哪 种 反 币 ， 它 们 只 想 与 一 家 文 付 服务 商 合作 ， 文 付 服务 商 允 许 顾客 用 加 密 数 
字 货 币 进行 文 付 ， 承 担 全 部 风险 ， 并 在 每 日 结束 时 跟 自 己 结账 。 因 此 ， 很 有 可 
能 是 文 付 服务 商 构成 了 主要 雷 求 ， 商 家 、 顾 客 和 投资 人 只 是 跟随 者 。 

尔 可 能 已 经 猜 到 了 ， 这 些 观点 都 有 其 合理 性 ， 所 有 这 些 群 体 都 有 一 定 的 权 
力 。 要 想 成 功 ， 一 种 电子 货币 需要 以 下 不 同形 式 的 共识 一 一 由 开发 人 员 编写 的 
稳定 的 规则 手册 、 采 矿 能 力 、 投 资 、 商 家 和 顾客 的 参与 以 及 支持 他 们 的 支付 服 
务 商 。 所 以 ， 所 有 这 些 参与 方 都 对 影响 比特 币 示 来 发 展 的 斗争 结果 有 一 定 的 话 
井 权 ,但 没有 哪 一 方 是 拥有 绝对 控制 权 的 。 这 是 一 个 庞大 、 曲 折 且 混乱 的 建立 
共识 的 过 程 。 


万 一 个 与 比特 币 管理 相关 的 组 织 叫 比特 币 基 金 会 (the Bitcoin Foundation ) ， 


他 们 编写 规则 手册 ， 几 乎 人 
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它 成 立 于 2012 年 ， 成 立 之 初 是 一 家 非 营 利 组 织 。 现 在 它 主 要 扮演 两 个 角色 : 其 
一 ， 它 从 资产 中 拿 出 一 部 分 资助 比特 币 核心 钱包 开发 人 员 ， 以 便 他 们 可 以 全 力 
以 赴 开 发 软件 ; 其 二 ， 它 与 政府 ， 特 别 是 与 美国 政府 沟通 ， 作 为 比特 币 的 发 声 
机 构 。 

现在 ， 比 特 币 社区 的 一 些 成 员 认 为 ， 比 特 币 的 运行 应 该 游离 并 独立 于 传 
统 的 国家 政府 。 他 们 认为 比特 币 应 该 跨国 运行 ， 它 不 需要 问 政 府 解释 或 证 明 
自己 ， 也 不 需要 与 他 们 谈判 。 其 他 人 则 不 这 么 认为 。 他 们 认为 被 监 官 无 法 规 
避 ， 其 至 是 有 益 的 。 他 们 希望 政府 了 解 比特 币 社区 的 利益 所 在 ， 听 到 比特 币 
社区 的 声音 。 比 特 币 基金 会 的 诞生 部 分 是 为 了 满足 这 个 需求 ， 可 以 说 ， 比 特 
币 被 人 们 理解 和 接受 ,很 大 程度 上 要 归功 于 比特 币 基 金 会 一 直 以 来 与 政府 之 
间 的 沟通 工作 。 


全 开放 协议 ( open protocol ) 的 治理 


我 们 已 经 对 比特 币 系 统 进 了 一 些 描述 ， 在 这 个 系统 中 ， 利 益 并 不 完全 一 
致 的 众多 利益 相关 者 在 开放 协议 和 系统 中 相互 协作 ， 达 成 技术 上 的 和 社会 性 
的 共识 。 这 可 能 让 你 想起 互联 网 本 身 。 比 特 币 核心 钱包 和 互联 网 的 发 展 过 程 
确 有 共同 之 处 。 例 如 ，BIP 就 类 似 于 “评议 请 求 ” ( Request for Comments ， 简 
称 RFC)，RFC 是 一 种 用 于 设置 互联 网 标准 的 文件 。 


比特 币 基金 会 一 直 备 受 和 争议 。 基 金 会 的 一 些 董事 会 成 员 卷 人 了 犯罪 或 金钱 
HL 闻 ， 人 们 对 他 们 在 多 大 程度 上 能 代表 比特 币 社 区 存在 疑问 。 基 金 会 面临 着 要 
迅速 调整 此 类 将 带 来 负面 影响 的 董事 会 成 员 ， 但 这 会 带 来 挑战 。 人 们 指责 它 缺 
乏 透 明度 ， 而 且 正 在 迅速 走向 破产 。 截 至 2015 年 ， 比 特 币 基金 会 能 够 在 比特 币 
的 未 来 发 展 中 发 挥 多 大 的 作用 尚 不 明确 。 

男 一 个 非 营 利 性 组 织 “ 货 币 中 心 ”(Coin Center) 成 立 于 2014 年 9 月 ， 总 
部 位 于 华盛顿 特区 ， 厌 担 了 比特 币 基 金 会 的 部 分 职能 ， 充 当 宣 传 和 与 政府 沟通 
的 角色 。 筑 币 中 心 的 运作 类 似 一 个 智 守 团 ， 截 至 2015 年 年 初 ， 它 受到 的 争议 较 
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小 。 比 特 币 基金 会 和 货币 中 心 对 比特 币 的 控制 权 都 比 不 上 其 他 的 任何 一 方 利 共 
相关 者 。 同 开源 代码 的 生态 系统 中 的 所 有 事物 一 样 ， 这 种 代表 性 实体 机 构 是 否 
能 成 功 、 其 合法 性 能 否 获 得 公众 认可 ， 取 决 于 随 着 时 间 的 推移 ,它们 能 够 在 比 
寺 币 社区 获得 多 少 文 持 和 资金 。 

总 之 ,还 没有 一 个 实体 机 构 或 群体 对 比特 币 的 演化 拥有 绝对 的 控制 权 ， 
从 另 一 种 意义 上 来 说 ， 每 个 人 都 能 够 决定 比特 有 币 未 来 的 演化 ， 因 为 管理 比特 
币 的 正 是 人 们 对 比特 币 系统 如 何 运 作 所 达成 的 共识 一 一 对 规则 、 历 史记 录 和 
价值 这 三 个 相互 关联 的 方面 所 达成 的 共识 。 任 何 一 种 规则 集合 、 和 群体 或 管理 
架构 ， 只 要 能 够 维持 在 这 三 方面 的 持久 共识 ， 就 能 够 在 真正 意义 上 决定 比特 
币 的 未 来 。 


7.4 比特 币 的 起 源 


现在 我 们 来 谈 一 谈 比特 币 的 起 源 。 它 是 如 何 开始 的 ? 它 的 前 身 是 什么 ? 我 
们 对 其 神秘 的 创始 人 了 解 多 少 ? 


密码 朋克 和 数字 货币 

比特 币 其 中 一 个 值得 一 提 的 前 身 是 密码 朋克 (cypherpunk ) ， 一 项 汇聚 了 两 
种 观点 的 运动 。 首 先是 自由 主义 ， 特 别 是 认为 如 果 没 有 或 者 极 少 政府 干预 会 让 
社会 更 好 的 观点 。 其 次 ， 该 运动 与 自由 主义 者 (其 至 是 无 政府 主义 者 ) 的 概念 
联系 在 一 起 ， 加 上 强加 密 的 想法 ， 特别 是 于 20 世纪 70 年 代 后 期 出 现 的 公 钥 密 
码 学 。 参 与 密码 朋克 运动 的 人 们 相信 ， 拥 有 了 强大 的 网 络 隐 私 和 强加 密 ， 他 们 
可 以 重 塑 人 们 相互 交流 的 方式 。 密 码 朋 克 认 为 ， 在 这 个 世界 上 ， 人 们 应 该 更 加 
有 效 地 保护 目 己 和 上 自身 权益 ， 少 受 政府 行为 影响 (或 干预 ) 。 

密码 朋克 过 到 的 一 个 难题 是 ， 在 他 们 所 构想 的 未 来 世界 中 ， 人 们 通过 强大 
的 技术 和 加 密 手 段 进行 网 上 沟通 时 ， 如 何 解 决 金钱 相关 的 问题 。 许 多 研究 都 是 
为 了 探讨 这 个 问题 ， 特 别 是 大 卫 … 乔 姆 (David Chaum) 和 其 他 人 所 做 的 关于 数 
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字 货 币 (digital cash) 的 早期 研究 工作 ， 他 们 试图 创建 一 种 具有 现金 的 功能 、 能 
够 匿名 使 用 和 极 易 交易 的 新 型 数字 货币 。 这 些 技术 性 的 想法 是 如 何 发 展 、 数 字 
货币 又 为 何 没 能 流行 开 来 ， 这 背后 是 一 个 有 趣 的 故事 (参见 前 言 部 分 )。 该 领域 
的 所 有 前 期 工作 都 与 密码 朋克 的 信仰 密 不 可 分 ,特别 是 他 们 对 拥有 去 中 心 化 的 、 
线 上 和 相对 私密 的 强势 货币 的 碌 望 ， 都 为 比特 币 的 诞生 播 下 了 种 子 。 它 也 是 很 
多 比特 币 追 随 者 所 遵循 的 理念 基础 。 


中 本 取 

2008 年 ， 中 本 聪 发 表 题 为 “比特 币 : 一 种 点 对 点 的 电子 现金 系统 ”的 白 
皮 书 ,宣告 了 比特 币 的 诞生 。 上 昌 度 书 当 时 可 以 在 网 络 上 目 由 下 载 ， 是 第 一 篇 
描述 比特 币 的 运作 模式 和 设计 理念 的 文章 。 现 在 ， 它 依然 可 以 帮助 人 们 还 速 
了 解 比 特 币 的 技术 设计 和 理论 基础 。 中 本 聪 随后 发 布 了 实现 日 皮 书 中 规范 的 
开源 软件 ， 这 正 是 一 切 的 开端 。 时 至 今日 ， 中 本 聪 的 号 份 依然 是 关于 比特 币 
的 最 大 谜团 。 

重要 的 是 ， 我 们 不 知道 中 本 聪 的 身份 并 不 是 什么 要 紧 事 ， 因 为 比特 币 的 显 
者 特点 就 是 它 的 去 中 心 化 ， 而 且 不 受 任 何 单一 实体 控制 。 中 本 聪 并 不 是 掌权 人 ， 
事实 上 ， 上 月 从 2010 年 年 中 将 比特 币 的 控制 权 转 让 给 其 他 开发 者 之 后 ， 他 便 不 再 
积极 从 事 这 个 项 目 了 上。 从 茶 种 程度 上 来 说 ， 中 本 聪 到 底 在 想 什么 已 经 不 重要 了 。 
如 采 中 本 聪 再 度 活跃 走 来 ， 他 在 比特 币 社 区 的 声望 可 能 会 影响 社区 的 决策 ， 这 
是 他 唯一 的 影 啊 力 。 


增长 

目 2009 年 1 月 正式 上 线 以 来 ， 比 特 币 已 经 取得 了 大 幅度 增长 。 我 们 从 一 段 
时 期 的 交易 走势 ( 见 图 7.3) 和 一 段 时 期 的 交易 数量 ( 见 图 7.4) 中 都 可 以 很 清 
楚 地 看 到 这 一 点 ， 尽 管 有 过 一 段 时 期 的 滑落 ,但 2013 年 下 半年 又 开始 企稳 ， 并 
于 2015 年 达到 峰值 。 虽 然 有 时 候 ， 增 长 是 渐进 的 ， 但 也 有 激增 的 情况 ,通常 是 
在 新 闻 事 件 发 生 之 后 。 总 的 来 说 ， 长 期 看 增 速 是 加 快 的 。 
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wd 


几乎 可 以 肯定 “中 本 聪 ”是 一 个 笔名 。 中 本 聪 自称 是 一 名 生活 在 日 本 的 
37 岁 中 年 男性 。 但 是 ， 目 前 没有 证 据 表 明 中 本 聪 说 日 语 或 懂 日 语 ， 但 是 他 的 
英文 书写 相当 流利 ， 尽 管 美式 拼写 和 英 式 拼写 混在 一 起 。 有 不 少 人 研究 中 本 
聪 的 文章 、 代 码 、 发 表 时 间 、 机 器 标识 符 等 蛛丝马迹 ， 试 图 以 此 回答 中 本 聪 
的 母语 是 什么 ， 他 来 自 哪 里 。 有 些 人 甚至 党 试 通过 文体 计算 ( 对 作家 风格 进 
行文 字 算 法 分 析 ) 来 找 出 中 本 聪 的 身份 。 虽 然 有 些 人 自称 是 中 本 聪 ， 甚 至 一 
家 新 闻 媒 体 也 曾 这 样 宣 称 过 ， 目 前 ， 中 本 聪 的 真实 身份 仍 是 未 知 数 。 请 参考 
前 言 部 分 关于 中 本 聪 的 更 多 讨论 。 
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图 7.3 ”比特 币 的 市 场 价格 (7 天 的 平均 值 ) 
注 : 注意 计算 尺 。 
资料 来 源 : bitcoincharts. com 
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图 7.4 日 均 交 易 量 (7 天 平均 值 ) 
资料 来 源 : bitcoincharts. com 


7.5 政府 对 比特 币 的 关注 


本 章 接 下 来 的 内 容 我 们 将 谈 谈 政 府 ， 政 府 与 比特 币 的 关系 以 及 为 监管 比特 
币 所 做 的 努力 。 随 着 比特 币 成 为 一 个 足够 庞大 的 现象 ， 政府 才 开 始 注 意 到 比特 
币 ， 并 开始 担忧 它 可 能 造成 的 影响 以 及 目 己 应 该 如 何 应 对 。 本 市 和 下 节 内 容 ， 
我 们 将 讨论 为 什么 比特 币 会 让 各 国政 府 产 生 担忧 。 在 7.7 三 ， 我们 将 参照 其 他 
被 监管 的 业务 ， 讨 论 比特 币 可 能 会 被 监管 的 原因 。7. 8 市 将 对 一 个 结合 了 常规 消 
费 者 权益 保护 和 比特 币 特 性 的 监管 提案 进行 案例 分 析 。 


资本 管制 


政府 之 所 以 注意 到 比特 币 这 样 的 数字 货币 的 原因 之 一 在 于 ， 不 可 追踪 的 数 
字 货 币 不 受 资本 管制 。 资 本 管制 是 指 一 个 国家 颁布 法 律 或 法 规 ， 以 控制 流 和 或 
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流出 该 国 的 资本 (货币 或 其 他 资产 )。 通 过 对 银行 和 投资 行为 等 设置 限制 性 条 
件 ， 国 家 可 以 监管 资金 流动 。 

在 某 些 情况 下 ， 比 特 币 可 以 轻而易举 地 绕 过 资本 管制 。 人 们 可 以 在 攻 国 境内 
购买 比特 币 ， 把 这 些 比特 币 以 电子 方式 转移 到 境外 ,然后 将 其 将 现成 资金 或 财产 。 
这 样 ， 他 们 可 以 把 资金 或 财产 从 境内 转移 到 境外 ,或 从 境外 转移 到 境内 ， 而 不 受 
政府 的 管制 。 因 为 财产 可 以 通过 这 样 的 电子 方式 轻而易举 地 进行 蜂 境 转移 ， 而 且 
无 法 真正 被 管控 。 政 府 如 果 想 对 比特 币 进 行 监管 ， 束 必须 把 比特 币 与 当地 法 定 贷 
币 银行 系统 隔离 开 来 。 这 样 ， 把 大 量 当 地 货币 郊 换 成 比特 币 或 肥 过 来 的 做 法 就 行 不 
通 了 。 一 些 试图 进行 资本 管制 的 国家 确实 是 这 么 做 的 ， 有 些 国家 及 取 强 便 措 施 ， 不 
允许 企业 用 比特 币 换取 当地 仙 币 ,试图 把 比特 币 与 法 定 贷 币 银 行 系统 隅 离开 来 。 


犯 菲 

不 可 追踪 的 数字 货币 让 政府 担忧 的 另 一 个 原因 是 ， 它 使 某 些 犯罪 更 加 容易 ， 
特别 是 涉及 支付 赎金 的 犯罪 ， 例 如 绑架 和 勒索 。 如 果 可 以 从 远程 匿名 支付 ， 这 
些 犯 罪 会 更 加 容易 。 

例如 ， 打 击 绑架 的 执法 人 员 往 往 依 徘 受害 者 或 其 家 人 癌 绑 菲 转 账 的 记录 提 
供 追 查 线索 。 远 程 匿名 转账 会 加 大 执法 人 员 追 查 转 账 流 癌 的 难度 。 还 有 一 个 例 
子 ，CryptoLocker 软件 可 以 对 受害 人 的 资料 恶意 加 密 ， 并 要 求 必须 用 比特 币 支付 
赎金 才 可 以 解密 。 这 样 ， 犯 罪行 为 和 文 付 行为 都 可 以 远程 进行 。 同 样 ， 当 人 们 
可 以 很 轻松 地 转账 ， 参 与 的 交易 并 不 需要 与 某 个 特定 的 个 人 或 组 织 绑 定时 ， 光 
税 对 他 们 来 说 也 更 加 方便 了 。 最 后 ， 如 果 远 程 转移 资金 可 以 不 通过 监管 机 构 ， 
出 售 非法 商品 就 会 更 加 容易 。 


“丝绸 之 路 ” 
丝绸 之 路 公司 〈Silk Road ) 就 是 一 个 很 好 的 例子 ， 它 自称 “匿名 市 场 ” 


了 ”丝绸 之 路 公司 是 一 个 利用 Tor 的 隐秘 服务 来 运作 的 黑市 购物 网 站 。2013 年 ， 美 国 FBI 拆毁 了 丝绸 
之 路 公司 ， 并 且 逮 捕 了 该 网 站 创始 人 ， 一 一 编辑 注 
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(anonymous marketplace ) ， 被 称 为 “销售 非法 药品 的 易 贝 网 "。 图 7.5 征 “ 丝 绸 
之 路 ”的 网 站 截图 。 毒 品 是 它 的 主要 销售 商品 ， 在 网 页 右 侧 偿 可 以 看 到 为 效 不 
多 的 其 他 类 别 的 在 售 商 品 ， 

卖家 可 以 在 “丝绸 之 路 ”宣传 自己 的 商品 ， 买 家 则 可 以 购 关 它们。 商品 通 营 
通过 邮寄 或 货运 的 方式 发 到 屎 家 手中 ， 文 付 方式 为 比特 币 。 网 站 以 Tor 隐匿 服务 的 
方式 运作 ,我们 在 第 6 章 已 经 讨论 过 这 个 概念 。 从 截图 中 我 们 可 以 看 到 ， 网 站 地 
址 为 http: /Asilkroadvbspiz3r onion。 这 样 ， 执 法 人 员 也 无 法 奶 查 到 服务 右 的 位 置 。 
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图 7.5 丝绸 之 路 公司 网 站 的 截图 (2012 年 4 月 ) 


交易 是 通过 比特 币 文 付 的 ， 执 法 人 员 也 很 难 追 查 资金 流 回 ， 查 出 哪些 
人 参与 其 中 。 商 品 发 货 时 ,“ 丝 绸 之 路 ” 网 站 哲 为 代 管 比特 币 。 epi 
的 代 管 机 制 有 助 于 防范 美 家 和 卖家 被 对 方 欺 骗 。 屎 方 确认 收 货 之 后 ， 网 站 才 会 
把 比特 币 转 给 卖方 。 它 还 有 类 似 于 易 由 ee (reputation system ) ， 头 
家 和 卖家 在 交易 完成 之 后 获得 信 准 评级 。 因 为 这 个 信誉 评价 系统 , “丝绸 之 路 ” 
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鼓励 买卖 双方 以 符合 市 场 规 则 的 方式 进行 交易 。 因 此 ， 作 为 一 个 非法 购物 网 站 ， 
“丝绸 之 路 ”是 很 有 创新 性 的 ， 它 找到 了 一 条 以 遵循 市 场 规则 进行 远程 非法 交易 
的 道路 ， 而 之 前 的 非法 市 场 很 难 做 到 这 一 点 。 

“丝绸 之 路 ”由 一 个 自称 “ 棺 怖 海盗 罗 伯 次 ”( Dread Pirate Roberts) 的 人 运 
作 ， 这 显然 是 一 个 化 名 ， 极 有 可 能 来 源 于 小 说 或 电影 《公主 新 娘 》 中 主人 公 的 
Pie 2013 年 10 月 ， 它 的 运 峭 者 、 后 馈 认 定员 
是 “ 怒 怖 海盗 罗 伯 次 ”的 罗斯 马 布 利 布 (Ross Ulbricht) 被 还 捕 之 后 ， 网 站 关 
闭 。 乌 布 利 希 曾 试图 通过 使 用 多 个 化 名 账户 、Tor 及 匿名 重 发 (anonymous re- 
mailers) 等 方式 掩盖 自己 的 踪迹 。 尽管 如 此 ， 美 国政 府 还 是 将 种 种 蛛丝马迹 联 
系 在 一 起 ， 证 据 表 明 他 与 “丝绸 之 路 ”的 活动 、 网 站 服务 器 以 及 作为 网 站 运营 
者 所 控制 的 比特 币 之 间 存 在 密切 联系 。 他 被 判 犯 下 与 运营 网 站 相关 的 多 项 罪行 。 
他 的 罪行 还 包括 买 凶 杀人 ， 泣 运 的 是 ， 他 在 这 方面 的 能 力 实 在 太 闪 缺 ， 并 没有 
人 被 杀害 。 

在 打击 “丝绸 之 路 ”的 过 程 中 ， 联 邦 调 查 局 收缴 了 约 174 000 比特 币 ， 当 
时 市 值 超过 3 000 万 美元 ， 根据 关 国 法 律 ， 政 府 有 权 没 收 任何 犯罪 所 得 收益 。 后 
来 ， 政 府 拍卖 了 了 部 分 收缴 的 比特 币 。 


“丝绸 之 路 ”的 教训 | 

从 执法 人 员 和 “丝绸 之 路 ”的 较量 中 ， 我 们 可 以 吸取 一 些 教训 。 第 一 ， 把 
现实 世界 和 虚拟 世界 完全 分 离开 是 很 困难 的 。 乌 布 利 布 认为 自己 可 以 既 拥 有 现 
实生 活 ， 又 可 以 用 一 个 秘密 号 份 来 经 营 庞 大 的 业务 和 技术 设施 ,事实 上 ， 把 这 
两 个 世界 分 开 ， 让 二 者 不 存在 任何 一 丝 联 系 ， ph 活跃 地 参与 到 一 
些 知 要 与 他 人 协调 的 活动 中 ， tp 会 非常 困难 。 一旦 两 种 
导 份 之 间 出 现 了 一 些 联系 ， 比 如 ， 如 果 你 穿帮 了 ， dn 
此 打 掩 护 ， 这 种 联系 永远 不 会 消失 。 这 样 ， waka 一 个 人 所 使 用 的 不 
同 身 份 就 会 渐渐 有 了 关联 性 。 这 正 是 发 生 在 乌 布 利 硕 . bh 在 早期 
用 同一 台 计 算 机 访问 自己 的 个 人 账户 和 “ 息 怖 海盗 罗伯茨 ”账户 。 这些 错 误 最 
终 为 调查 人 员 提 供 了 线索 ， 发 现 他 的 现实 身份 。 
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7 齐 


社区 、 政 治 和 上 监管 


另 一 个 教训 是 执法 人 员 可 以 对 资金 进行 追 足 。 在 马 布 利 布 被 捕 之 前 ， 联 邦 调 
查 局 就 已 经 知道 “丝绸 之 路 ”运营 者 管理 着 的 比特 币 地 址 ， 他 们 一 直 监 探 着 这 些 
地 址 。 因 此 ， 尽 管 乌 布 利 硕 的 区 块 链 拥有 大 量 财 宇 ， 他 无 法 从 这 些 财 亩 中 收益 ， 
因为 只 要 他 试图 转移 资产 ， 就 会 留 下 可 追踪 的 猴 迹 ， 很 可 能 会 导致 他 迅速 被 捕 。 
因 些 ， 人 尽管 马 布 利 硕 拥有 174 000 比特 币 ， 在 现实 生活 中 ， 他 并 没有 过 上 和 奢侈 的 生 
活 。 他 居住 在 旧金山 一 个 一 居室 的 公寓 里 ， 显 然 ， 他 无 法 将 自己 积累 的 财富 兑现 。 

简 而 言 之 ， 如 果 你 有 意 经 营 一 家 秘密 的 犯罪 公司 当然 ， 我 们 并 不 推荐 
这 条 “事业 ”道路 一 一 做 起 来 可 能 要 比 你 想象 中 难得 多 ， 比 特 币 和 Tor 这样 的 
技术 并 不 是 刀枪 不 人 的 ,执法 部 门 仍然 拥有 很 多 重要 的 手段 帮助 侦破 案件 。 尺 
管 执法 部 门 对 比特 币 的 崛起 有 过 一 定 恐 慌 ， 但 它们 依然 可 以 对 资金 进行 追踪 ， 
而 且 也 具备 侦破 犯罪 案件 的 强大 能 力 ， 让 那些 从 事 需 要 与 他 人 协调 的 犯罪 行为 
的 人 日 子 不 那么 好 过 。 

同时 ,“ 丝 绸 之 路 ”是 关 财 了 了 ， 但 执法 部 门 并 没有 完全 关闭 通过 比特 币 交 易 
的 经 营 非 法 药物 的 黑市 ， 事实 上 ,“ 丝 绸 之 路 ”关闭 之 后 ， 这 类 黑市 如 雨 后 春 筹 
般 消 现 ， 其 中 一 些 较为 突出 的 黑市 包括 绵羊 集 市 (Sheep Marketplace) 、“ 丝绸 之 
路 2.0”(Silk Road 2) 、 黑 市 重 装 上 阵 (Black Market Reloaded) 、 进 化 〈Evolu- 
tion) 和 阿 格拉 (Agora)。 由 于 执法 人 员 的 行动 或 者 内 部 人 员 的 偷 穷 ， 其 中 大 多 
数 现 在 已 经 不 复 存 在 。 里 然 如 此 ， 人 研究 发 现 ， 执 法 部 门 对 这 种 黑市 的 打击 并 未 
使 其 放 绥 增长 ， 其 销售 额 反 而 上 涨 。 网 站 经 营 者 可 能 私 天 买 家 被 代 管 的 资金 ， 
然后 消失 。 为 了 规避 这 种 安全 风险 ， 新 出 现 的 集 市 多 采取 多 重 签名 代 管 (我 们 
在 第 3 章 已 讨论 过 ) ， 不 再 采用 “丝绸 之 路 ”由 经 营 者 保管 资金 的 方式 。 





7.6 反 洗 钱 


这 本 克 中 ， 我 们 将 讨论 洗钱 和 反 洗 钱 相 关 法 律 、 政 府 ， 尤 其 是 美国 政府 所 
制定 的 反 洗 钱 (Anti-Money Laundering， 简 称 AML) 法 律 对 比特 币 相 关 业 务 造 成 
的 影 啊 。 
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反 洗钱 政策 的 目的 在 于 防止 资金 的 大 量 秘密 外 流 或 流入， 防范 资金 在 非法 
与 合法 企业 或 机 构 之 间 秘 密 流 动 。 在 7.5 节 我 们 讨论 过 ， 资 本 管制 是 为 了 防止 
资金 的 跨 境 流动 。 在 某 些 情况 下 ， 政 府 并 不 介意 资金 跨 境 流动 ， 但 它们 想 知 道 
资金 的 来 源 和 去 向 。 反 洗钱 政策 的 目的 是 给 某 些 特定 类 型 的 犯罪 行为 培 加 难度 ， 
寺 别 是 有 组 织 犯 罪 。 有 组 织 犯 罪 的 罪犯 经 营 会 收 到 大 笔 资 金 ， 需 要 转移 这 些 资 
金 , 但 又 不 想 对 任何 人 解释 这 笔 资金 的 来 源 ， 以 及 为 什么 想 把 这 笔 资 金 转 移 到 
境外 。 或 者 ， 罪 犯 通过 非法 活动 赚 到 了 一 大 笔 钱 ， 想 通过 合法 企业 使 其 合法 化 ， 
这 样 ， 犯 罪 涉 目 就 可 以 购买 各 种 父 侈 品 。 反 洗钱 的 日 的 就 是 让 资金 转移 更 加 困 
难 ， 而 且 ， 有 人 试图 这 么 做 时 ， 会 更 容易 被 发 现 。 


-~ 二 


了 解 你 的 客户 

“了 解 你 的 客户 ” (Know Your Customer， 售 称 KYC) 原则 ， 是 打击 洗钱 活 
动 的 根本 对 策 之 一 。KYC 原则 的 细节 有 些 复杂 ， 而 且 根 据 立 场 不 同 而 有 所 变化 ， 
但 其 核心 思想 是 ,“ 了 人 解 你 的 客户 ”原则 要 求 ， 对 于 一 些 有 资金 处 理 业 务 的 特定 
类 型 的 企业 ， 需 要 做 到 以 下 三 件 事 : 

1. 识别 并 验证 客户 一 一 获得 客户 的 身份 证 明 ， 确 定 客户 的 真实 身份 与 他 们 
声称 的 号 份 一 致 ， 并 确保 他 们 声称 的 身份 与 现实 世界 的 真实 身份 对 应 。 一 个 人 
推 开 门 和 直接 走 进 屋 ， 说 上 月 己 是 住 在 美国 某 市 某 街道 多 少 号 的 张 三 、 李 四 ， 企 业 
不 能 赁 此 口述 确认 他 的 身份 ， 他 必须 提供 可 靠 的 身份 证 明文 件 。 

2. 评估 客户 风险 一 一 确定 客户 从 事 地 下 行为 的 风险 。 通 过 评估 客户 行为 以 
确定 风险 一 一 他 们 与 公司 的 合作 关系 是 否 长 久 、 他 们 在 社区 的 知名 度 以 及 其 他 
多 个 因 系 和 等。 通常 而 言 ，KYC 原则 要 求 公 司 对 看 起 来 风险 更 大 的 客户 实施 监控 。 

3. 监控 异常 举动 监控 看 似 洗钱 或 犯罪 的 行为 。 如 果 一 个 客户 看 上 去 不 
其 可 徘 ， 或 者 无 法 对 其 身份 进行 充分 验证 ,或 者 其 行为 没有 符合 法 律 的 要 求 ， 
那么 KYC 原则 往往 要 求 公 司 终 止 与 这 种 客户 的 业务 往来 。 











强制 上 报 
美国 的 强制 上 报 (mandatory reporting) 对 比特 币 的 业务 影响 重大 。 众 多 行 
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业内 的 公司 被 要 求 必 须 将 超过 10 000 美元 的 资金 交易 进行 上 报 。 它 们 需要 提交 
一 份 《 资 金 交 易 报告 》， 说 明 交 易 内 容 和 交易 对 手 的 身份 ， 这 份 报告 还 要 求 对 交 
易 对 手 进 行 身份 验证 。 报 告 提 交 后 ， 所 有 信息 纳入 政府 数据 库 ， 以 便 将 来 分 析 
是 否 存在 洗钱 行为 的 嫌疑 。 

美国 政府 还 要 求 各 公司 关注 那些 可 能 通过 人 为 操控 以 规避 上 报 交 易 的 客户 ， 
比如 ， 由 于 法 规 只 要 求 对 金额 超过 10 000 美元 的 交易 进行 汇报 ， 一 些 人 可 能 开 
展 数 笔 金额 为 9 999 美元 的 交易 。 如 果 发 现 客户 操控 交易 ， 公 司 必须 编写 《可 疑 
行为 报告 >;， 并 汇报 给 政府 。 同 样 ， 这 些 信息 也 会 被 录入 政府 数据 库 ， 用 于 可 能 
对 客户 开展 的 调查 。 

各 个 国家 的 要 求 各 不 相同 。 在 此 ， 我们 并 不 是 想 提 供 什么 法 律 建议 。 讨 论 
这 个 话题 只 是 为 了 说 明 反 洗钱 法 规 提出 的 一 些 要 求 。 不 管 是 美国 政府 还 是 其 他 
政府 ， 都 非常 重视 反 洗 钱 法 规 ， 一 旦 有 人 违反 ， 可 能 会 被 判 以 重 刑 。 有 一 些 法 
律 ， 违 反之 后 ， 政 府 可 能 会 投诉 你 ， 然 后 你 再 设法 去 解决 它 ， 反 洗钱 法 并 不 是 
这 样 的 。 

政府 已 经 关闭 了 许多 比特 币 人 企业， 一些 是 暂时 的 ， 一 些 是 永久 的 。 还 逮捕 
了 一 些 从 业 人 员 ， 也 有 一 些 人 因为 违反 反 洗 钱 法 而 银 销 人 狱 。 不 管 是 使 用 比特 
币 还 是 法 定货 币 ， 国 家 都 会 严 历 打击 洗钱 行为 。 目 从 注意 到 比特 币 市 场 已 经 足 
够 大 ， 可 能 会 审 来 洗钱 风险 ， 政 府 部 门 就 强化 了 对 比特 币 相 关 企 业 可 能 洗钱 的 
监控 。 如 果 你 有 兴趣 创建 一 家 需要 处 理 大 额 资金 的 企业 ， 那 就 需要 跟 理解 这 些 
法 规 的 律师 好 好 谈 谈 。 


7.7 监管 


现在 让 我 们 来 直接 谈 谈 监 管 问 题 。 监 管 通常 背负 恶名 ， 亲 上 比特 币 派 尤其 不 
襄 欢 这 个 词 。 这 些 人 认为 ， 监 管 是 一 种 官僚 主义 ,它们 根本 就 不 了 解 我 的 业务 ， 
不 以 我 做 的 事情 ， 只 会 横 插 一 脚 ， 把 事情 搞 砸 。 监 管 是 一 种 负担 ， 它 不 仅 愚蠢 ， 
而 且 至 无 意义 。 这 种 观点 很 普遍 ， 而 且 容 易 得 到 认同 ， 它 也 许 不 无 道理 ， 但 此 
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处 我 们 不 再 重复 了 。 
相反 ， 在 本 节 中 ， 我 们 将 探讨 为 什么 监管 有 时 是 可 取 的 ， 因 为 很 多 人 并 不 
理解 这 种 观点 。 澄 清 一 点 ， 我 们 虽然 在 本 节 要 花 大 量 篇 幅 来 解释 为 什么 监管 有 


时 是 一 件 好 事 ， et ei 但 是 我 们 想 让 认 
为 监管 生 而 可 恶 的 社区 听 到 一 点 不 同 的 声 

赞成 监管 的 基本 原因 是 : el 致 认可 的 恶果 时 ， 监 管 
可 以 介入 ， 并 解决 这 种 失灵 。 由 于 市 场 并 不 总 是 给 出 最 优 的 结果 ， 所 以 我 们 说 
监管 有 时 是 有 益 的 。 

我 们 可 以 用 经 济 学 术语 更 为 准确 地 表达 这 一 ， 我 们 担心 市 场 会 失灵 ， 
“ 失 录 ”的 意思 ， 并 不 是 说 坏事 发 生 , 或 者 有 人 觉 erp ee 
待 。 我 们 指 的 是 ， 对 市 场 参 与 者 进行 不 同 的 商品 分 配 ， 这 会 让 每 个 人 更 好 ,或 
者 至 少 不 会 更 差 。 这 种 不 同 的 分 配 被 称 为 帕 累 托 改 进 (Pareto improvement ) 。 


森 柑 市场 

柠檬 市 场 (lemons market， 也 称 为 次 品 市 场 ) 是 可 能 导致 市 场 失灵 的 一 个 
经 典 案 例 。 柠 柑 市 场 的 名 称 起 源 于 汽车 销售 行业 ， 但 这 个 概念 并 不 局 限于 这 个 
行业 。 假 设 所 有 汽车 要 么 优质 要 么 劣质 ， 没 有 中 间 地 带 。 制 造 一 辆 优质 汽车 的 
成 本 比 一 辆 劣质 汽车 的 成 本 高 不 了 多 少 ， 但 对 于 购买 汽车 的 人 来 说 好 处 则 多 
很 多 。 

如 果 市 场 运行 良好 ( 即 经 济 学 家 所 说 的 “有 效 运行 " ) ， 汽 车 销售 商会 向 顾 
客 提供 更 多 优质 汽车 。 这 是 因为 ， 昌 然 优 质 汽车 价格 较 高 ， 但 大 多 数 消费 者 更 
喜欢 优质 汽车 ， 愿 意 花 更 多 的 钱 购 买 。 所 以 ， 在 假设 条 件 下 ， 市 场 会 提供 这 样 
令 人 愉悦 的 结果 . 

但 是 假设 顾客 分 辨 不 出 哪些 汽车 是 优质 的 ， 哪 些 是 劣质 的 。 一 辆 劣质 汽车 
一 个 “柠檬 ， 俗 称 次 品 ) 从 外 观 上 看 上 去 似乎 很 不 错 ， 但 顾客 不 知道 它 会 不 
会 明天 就 烽火 ， 还 是 可 以 开 很 入。 销售 商 很 可 能 知道 它 是 一 个 次 品 ， 但 是 顾客 
是 分 辨 不 出 来 的 。 

接 下 来 ,我 们 考虑 这 种 柠檬 市 场 是 如 何 驱动 人 们 的 消费 行为 的 。 作 为 一 名 
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消费 者 ， 由 于 在 购买 汽车 前 根本 看 不 出 区 别 ， 即 便 销 售 商 告诉 顾客 这 辆 车 非 篆 
好 ， 顾 客 只 需要 多 掏 100 美元 就 可 以 买 下 ， 顾 客 未 必 会 相信 他 ， 也 就 不 愿意 掏 
多 余 的 钱 买 一 辆 优质 汽车 。 

由 此 带 来 的 结果 是 ， 生 产 丙 并 不 会 因为 多 卖 出 一 辆 优质 汽车 而 多 赚 一 笔 钱 。 
事实 上 ， 每 卖 一 辆 优质 汽车 ， 它 们 反倒 赔钱 ， 因 为 优质 汽车 的 生产 成 本 更 高 ， 
它们 并 没有 赚 到 差价 。 最 终 ， 生 产 商 只 生产 劣质 汽车 ， 而 顾客 对 目 己 所 购买 到 
的 商品 非常 不 满 ， 市 场 就 卡 在 这 个 平衡 上 。 

与 正 浓 运行 的 市 场 相 比 ， 这 个 结果 对 每 个 人 来 说 都 更 糟糕 。 它 对 消费 者 来 
说 更 糟 ， 因 为 他 们 不 得 不 凑合 使 用 劣质 汽车 。 在 一 个 运行 更 加 有 效 的 市 场 中 ， 
他 们 可 能 只 需要 多 花 一 点 钱 ， 台 可 以 购买 到 质量 好 得 多 的 汽车 。 对 于 生产 商 来 
说 也 很 糟 ， 因 为 市 场 中 出 售 的 汽车 都 是 次 品 ， 消 费 者 可 能 就 不 会 天 那么 多 汽车 ， 
因此 ， 销 售 汽 车 获得 的 利润 要 比 在 一 个 健康 市 场 上 的 利润 少 得 多 。 

这 个 现象 束 是 市 场 失 录 。 森 标 市 场 并 不 专 指 汽车 行业 。 任 何 竺 售 的 存在 信 
恩 不 对 称 (asymmetric information， 即 头 方 或 卖方 中 的 一 方 比 男 一 方 对 商品 品质 
的 了 解 要 多 ) 的 商品 或 小 部 件 部 会 遭遇 市 场 失 录 。 经 济 学 文献 可 以 提供 汽车 行 
业 以 外 的 更 多 案例 。 


者 


修复 柠檬 市 场 

通过 一 些 市 场 手 段 ， 可 以 修复 森 樟 市 场 。 一 种 手段 是 通过 卖方 的 信誉 。 如 
宁 卖 方 总 是 实话 实说 ， 告 诉 头 方 哪些 是 优质 品 哪些 是 劣质 品 ， 久 而 久之 ， 这 个 
卖方 就 会 被 大 家 认为 是 诚实 的 , 一旦 有 了 这 种 信誉 ， 它 们 就 能 够 以 更 高 的 价格 
出 售 优质 汽车 ， 因 为 消费 者 会 相信 它们 说 的 话 ， 市 场 也 就 可 以 更 有 效 地 运行 。 
这 一 手段 有 时 委 效 ， 有 时 无 效 ， 取 决 于 对 市 场所 做 的 假设 是 否 准 确 。 当 然 ， 它 
印 便 有 效 ， 也 比 不 上 消费 者 能 够 分 辨 商品 质量 好 坏 的 市 场 。 而 且 ， 生 产 者 需要 
一 段 时 间 才 能 建立 目 己 的 信誉 。 这 也 就 要 求 它 们 必须 要 在 一 段 时 间 内 以 低 价 销 
售 优质 的 商品 ， 直 到 消费 者 意识 到 它们 的 诚实 可 靠 。 这 加 大 了 诚信 卖家 进入 市 
场 的 难度 。 

还 有 为 外 一 个 潜在 问题 ， 即 便 是 一 个 一 直 有 诚信 的 卖家 ， 当 它 决定 退出 市 
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场 (比如 因为 销售 额 下 降 ) 时 ， 就 不 再 有 动力 继续 对 买方 说 实话 。 它 可 能 会 趁 
机 大 肆 欺 骗 买 方 ， 然 后 关门 大 吉 。. 因此 ， 在 卖家 一 开始 进入 市 场 或 决定 退出 市 
场 时 ， 通 过 卖家 信誉 来 修复 柠檬 市 场 的 方式 并 不 一 定 委 效 。 

对 于 消费 者 不 会 从 同一 个 买 家 重复 购买 商品 的 行业 ， 或 者 商品 是 新 兴 事 物 ， 
卖方 还 没有 足够 的 时 间 建 立 起 信誉 的 行业 ， 通 过 信誉 修复 村 榜 市 场 的 手段 也 很 
可 能 不 会 奏效 。 像 比特 币 这 样 的 高 科技 市 场 就 面临 这 样 的 问题 。 

另 一 种 修复 柠檬 市 场 的 手段 是 担保 。 卖 家 向 买 家 提供 担保 ， 也 就 是 ， 如 果 
商品 最 终 被 证 明 是 劣质 的 ,卖家 会 换 货 或 退 蒜 。 这 种 方法 是 比较 有 效 的 ,但 也 
存在 一 个 问题 : 担保 也 是 男 一 种 可 能 存在 质量 高 低 的 商品 ! 如 果 是 一 个 劣质 担 
保 ， 当 购买 的 商品 出 现 问 题 后 ， 卖 家 可 能 根本 就 不 兑现 之 前 的 承 详 ， 或 者 在 买 
家 要 求 况 现 担保 承诺 的 过 程 中 故意 设置 各 种 难题 。 


通过 监管 手段 修复 

如 果 确 实 存在 一 个 杆 树 市 场 ， 而 且 上 述 所 有 的 市 场 手段 均 未 奏效 ， 那 么 监 
管 可 能 会 帮 上 忙 。 具 体 来 说 ， 监 管 可 以 通过 以 下 三 种 方法 修复 柠檬 市 场 。 

第 一 种 方法 是 ,监管 可 以 要 求 信 息 公 开 。 比 如 ， 可 以 要 求 所 有 的 汽车 都 贴 
上 标签 ， 标 明 它 是 优质 汽车 还 是 劣质 汽车 ， 并 对 造假 的 企业 施 以 处 罚 。 这 可 以 
让 消费 者 了 解 他 们 之 前 并 不 了 解 的 信息 。 第 二 种 监管 方法 是 出 具 质 量 标准 ， 只 
有 通过 质量 标准 检测 的 汽车 才 可 以 出 售 ， 否 则 不 得 出 售 。 有 了 这 样 一 个 标准 ， 
只 有 优质 汽车 才能 够 通过 质量 检测 。 如 果 监 管 奏 效 ， 可 能 会 导致 市 场 上 只 有 单 
一 质量 的 汽车 , 但 至 少 都 是 优质 汽车 。 第 三 种 方法 是 ， 监 管 可 以 要 求 所 有 的 销 
售 方 出 具 担 保 ， 并 强制 执行 这 些 担保 ， 这 样 ， 销 售 方 就 必须 对 其 做 出 的 承诺 
负责 。 

所 有 这 些 监管 手段 都 可 能 失效 ， 它 们 可 能 达 不 到 预想 效果 ， 可 能 会 写 得 不 
好 、 误 用 ， 或 者 对 卖家 造成 负担 。 但 是 这 种 监管 为 柠檬 市 场 导 致 的 市 场 失灵 问 
题 提供 了 一 个 可 能 的 解决 方案 。 例 如 ， 一 些 支持 对 比特 币 交 易 市 场 进 行 监管 的 
人 ， 有 时 就 认为 它 是 个 森 榜 市 场 。 
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串 谋 和 反 垄 断 法 

市 场 不 以 最 优 方式 运作 的 另 一 个 例子 就 是 价格 垄断 。 价 格 垄 断 是 指 不 同 卖 
家 相互 串通 ， 一 致 上 调 或 下 调价 格 的 做 法 。 另 一 个 与 之 相关 的 情况 是 ， 本 应 该 
是 竞争 关系 的 公司 决定 不 再 相互 苑 争 。 例 如 ， 某 市 有 两 家 面包 店 ， 它 们 商量 好 ， 
一 家 只 卖 松 饼 而 另 一 家 只 卖 面包 圈 ， 这 样 ， 比 它们 两 家 同时 既 卖 松 饼 又 卖 面包 
圈 的 竞争 要 小 得 多 。 竞 争 减少 ， 商 品 价格 自然 上 涨 ， 商家 对 市 场 的 运行 造成 
阻 但 。 

总 之 ， 一 个 正常 运转 的 市 场 主 要 通过 欧 争 来 保护 消费 肴 权益 。 均 家 必须 以 
最 优惠 的 价格 向 顾客 提供 最 好 的 产品 来 进行 范 争 ， 否 则 ， 它 们 就 没有 业务 。 价 
格 芍 断 或 串 谋 行为 规避 了 苋 争 。 如 果 人 们 采取 措施 规避 苋 争 ， 这 是 为 一 种 形式 
的 市 场 失灵 。 

在 大 多 数 司法 管辖 区 ， 商 量 好 涨 价 或 者 不 苋 争 的 行为 是 违法 的 。 这 是 反 垄 
断 法 或 竞争 法 的 一 部 分 内 容 。 这 一 法 律 的 目的 是 限制 蓄意 阻碍 或 损害 苋 争 的 行 
为 。 一 般 来 说 ， 它 更 侧重 于 限制 诸如 通过 并 购 减 少 苋 争 的 行为 ， 而 不 是 为 消费 
者 提供 物美 价 廉 的 商品 。 反 垄断 法 很 复杂 ， 我 们 只 做 了 一 些 人 入 单 介绍 ， 但 它 为 
市 场 失 灵 后 ， 法 律 如 何 介 入 并 纠正 市 场 失 灵 提 供 了 一 个 案例 。 


7.8 纽约 州 比 特 币 牌照 


截至 目前 ， 我 们 已 经 对 监管 内 容 做 出 了 概述 : 监管 的 不 同形 式 ， 为 什么 在 
茶 些 情况 下 监管 是 有 利于 经 济 运行 的 。 接 下 来 ， 我 们 来 看 看 纽约 州 比 特 币 牌照 
(Bitlicense) ， 这 是 茶 个 州 对 比特 币 监管 所 做 出 的 一 项 具体 努力 。 此 处 描述 的 细 
万 对 于 我 们 的 讨论 影响 不 大 ， 因 为 我 们 的 目标 并 不 是 让 你 了 解 一 个 法 律 条 款 。 
相反 ， 我 们 希望 帮助 你 了 解 监 管 部 门 都 在 做 哪些 事情 以 及 它们 是 如 何 考 虑 这 些 
问题 的 。 

《纽约 州 比特 币 牌照 提案 》 最 初 于 2014 年 7 月 提交 ， 后续 根 据 比 特 币 社区 、 
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行业 、 公 众 以 及 其 他 利益 相关 者 的 反馈 进行 了 修订 ， 最 后 由 州立 监管 金融 行业 
的 纽约 州 金融 服务 管理 局 (New York Department of Financial Services， 简 称 
NYDFS) 于 2015 年 8 月 颁布 施行 。 当 然 ， 纽约 州 是 世界 最 大 的 金融 中 心 ， 州 金 
融 服务 管理 局 也 习惯 与 大 型 金融 机 构 打 交道 。 


涉及 范围 

《纽约 州 比特 币 牌 照 提 案 》 是 一 套 关 于 虚拟 货币 (virtual currency) 的 规范 、 
法 规 和 规章 制度 。 它 要 求 ， 如 果 你 想 要 从 事 以 下 任何 事情 ， 那 么 必须 从 纽约 州 
金融 服务 管理 局 获得 所 谓 的 比特 币 牌 照 : 


虚拟 货币 业务 行为 是 指 涉及 纽约 州 或 纽约 州 居 民 的 以 下 类 型 的 行为 : 

1. 接收 虚拟 货币 用 于 传输 或 传输 虚拟 货币 ， 交 易 用 途 为 非 金融 性 且 不 涉及 
超过 虚拟 货币 面额 的 转移 除外 。 

2. 存储 、 持 有 或 为 他 人 代 管 虚拟 货币 。 

3. 为 客户 提供 购买 或 销售 虚拟 货币 的 服务 。 

4. 为 客户 提供 兑换 服务 。 

5. 控制 、 管 理 或 发 行 虚拟 货币 ， 

内 部 员工 或 其 本 身 对 软件 的 开发 与 传播 ， 并 不 属于 虚拟 货币 业务 行为 ， 

(摘自 纽约 金融 服务 管理 局 的 《纽约 州 比特 币 牌 照 提 案 》 的 原文 。) 


以 上 条 款 是 指 “ 涉 及 纽约 州 或 纽约 州 届 民 的 行为 ”， 反 上 映 了 纽约 州 金 融 服 务 
管理 局 的 监管 权力。 然而， 这 种 法 规 不 仅 对 纽约 州 ， 对 其 他 州 也 造成 影响 ， 原 
因 有 二 : 第 一 ， 在 面临 要 么 遵守 州 的 法 律 ， 要 么 放弃 在 该 州 的 业务 时 ， 像 对 纽 
约 或 者 加 利 福 尼 亚 这 样 人 口 众多 的 州 ， 大 多 数 公 司 部 会 选择 遵守 州 法 。 第 二 ， 
在 对 一 些 经 济 领 域 的 监 省 上 ,一 些 州 通常 被 视 为 领导 者 一 一 纽约 州 在 金融 领域 、 
加 利 福 尼 亚 在 科技 领域 。 这 也 就 意味 者 ， 美 国 其 他 州 会 沿 着 领导 者 设 定 的 方向 
走 下 去 。 

请 注意 第 一 条 提 到 , “交易 用 途 为 非 金融 性 的 除外 ”， 这 是 在 第 二 版 修订 中 
增加 的 ， 这 一 点 加 得 很 好 ， 它 剔除 了 那些 仅 把 比特 币 当 作 平 台 的 应 用 程序 ， 我 


wNv ai bbt.com DODODDDDOD 





244 


第 7 章 
社区 、 政 治 和 监管 


们 将 在 第 9 章 探 讨 。 第 二 条 涵盖 了 钱包 服务 。 至 于 第 三 条 ， 你 可 以 为 目 己 购 头 
和 出 售 比 特 币 ， 但 是 把 它 作为 业务 向 顾客 提供 服务 则 需要 获取 比特 币 牌 照 。 第 
四 条 足够 清晰 明白 。 最 后 一 条 可 能 更 适用 于 另类 币 ， 与 比特 币 相 比 ， 许 多 万 类 
币 的 中 心 化 更 强 。 我 们 将 在 第 10 章 中 讨论 为 类 币 。 

在 条 款 的 最 后 ， 把 软件 开发 作为 例外 特别 声明 ， 也 是 非常 重要 的 。 在 最 初 
版 本 中 并 不 包括 这 名 申明 ， 引 发 了 比特 币 社 区 的 强烈 抗议 。 纽 约 州 金融 服务 管 
理 局 局 长 本 杰 明 : 劳 斯 基 ( Benjamin Lawsky) 随后 做 出 解释 ， 申明 本 条 球 的 日 
的 并 不 是 为 了 监管 开发 人 员 、 矿 工 或 使 用 比特 币 的 个 人 。 最 终 版 本 包含 了 上 述 
两 个 明确 的 例外 情况 。 


要 求 

相关 实体 都 必须 申请 一 个 牌照 。 你 可 以 在 提案 中 找到 关于 如 何 申请 牌照 的 
详细 规定 (参见 本 章 最 后 的 “延伸 阅读 ”), 但 是 人 简 而 言 之 ,你 需要 提供 一 些 充 
分 的 材料 ， 证 明 你 对 企业 的 所 有 权 、 经 济 状况 、 保 险 和 商业 计划 ,以便 让 纽约 
州 金融 服务 管理 局 了 解 你 是 谁 、 你 是 否 有 足够 诚信 、 你 的 经 济 来 源 以 及 你 打算 
用 此 做 什么 。 此 外 ， 你 还 需要 文 付 一 笔 申请 费 。 

获得 牌照 后 ， 你 还 需要 加 纽约 州 金 融 服 务 管理 局 提供 所 有 权 、 经 济 状 况 、 
保险 等 信息 。 你 还 必须 定期 提供 财务 报表 ， 以 便 让 它们 了 解 你 的 经 营 状 况 。 你 
还 需要 维护 一 笔 财务 储备 金 ， 纽 约 州 金 融 服 务 管理 局 会 根据 你 的 业务 具体 情况 ， 
确定 具体 金额 。 

提案 包含 如 何 监 管 客 户 资 产 等 内 容 ， 也 有 非常 详细 的 条 蒜 。 提 案 也 包括 反 
洗钱 条 球 ， 其 内 容 可 能 与 现 有 法 律 一 至， 也 可 能 比 现 有 法 律 规定 的 内 容 更 多 。 
提案 包括 关于 安全 计划 和 渗透 测试 等 方面 的 条 球 ; 还 有 一 些 关 于 灾难 恢复 预案 
的 条 球 ， 规 定 了 必须 制订 灾难 恢复 计划 以 应 对 一 切 可 能 发 生 的 糟糕 情况 ; 包括 
本 历史 记录 保存 的 相关 条 球 ， 申 请 者 必须 要 保存 记录 ， 并 允许 纽约 州 金融 服务 
管理 局 在 某 些 情况 下 对 其 进行 访问 ; 申请 者 还 必须 制定 合 规 的 章程 ， 在 组 织 F 
部 任命 专门 的 合 规 员 ， 并 赋予 必要 的 权力 ， 确 保 业 务 的 合 规 性 。 此 外 ， 申 请 者 
还 必须 回 客户 披露 风险 ， 让 他 们 了 解 与 申请 者 进行 业务 往来 可 能 存在 的 风险 。 
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正如 你 所 看 到 的 ， 提 案 要 求 的 名 目 繁 多 ， 与 成 立 共 同 基 金 或 股票 上 市 所 岂 
满足 的 要 求 极 为 类 似 。 因 此 ， 比 特 币 牌照 是 比特 币 历 史上 关键 的 一 步 。 可 能 还 
有 其 他 部 门 也 会 开始 介入 比特 币 的 监管 ， 然 后 比特 币 业 务 就 会 越 来 越 接近 传统 
的 受 监管 的 金融 业务 。 

这 可 能 会 跟 密 码 朋 克 和 密码 自由 主义 者 们 对 比特 币 的 期 望 背道而驰 。 但 这 
可 能 具有 一 定 的 必然 性 ， 因 为 随 着 比特 币 价 值 的 增加 ， 比 特 币 业务 将 会 越 来 越 
大 ， 政 府 会 对 它们 产生 兴趣 ， 监 管 也 就 随 之 而 来 。 比 特 币 业务 会 对 现实 世界 的 
人 们 及 实体 经 济 产 生 影 响 ， 如 果 比 特 币 发 展 到 了 这 种 程度 ， 也 就 意味 着 它 已 经 
发 展 到 了 需要 被 监管 的 程度 。 它 表明 比特 币 最 初 簇拥 者 的 理念 开始 淡出 ,但 男 
一 方面 ， 它 也 表明 比特 币 生 态 系统 在 不 断 壮 大 ， 并 且 正 在 与 二 
实体 经 济 不 断 融 合 。 不 管 你 对 此 持 何 种 态度 ， 对 比特 币 的 监管 正在 发 生 ， 如 采 
你 有 兴趣 创立 一 家 比特 币 公 司 ， 你 需要 关注 这 一 趋势 。 

这 种 监管 比特 币 的 努力 会 成 功 吗 ? 可 以 有 不 同 的 方式 来 看 待 它 ， 但 是 有 一 
种 方式 ， 可 以 从 提升 比特 币 业 务 质 量 的 角度 ,来 评估 像 比特 币 牌 照 这 种 监管 措 
施 的 有 效 性 : 如 果 企 业 在 向 非 纽约 州 的 客户 推广 业务 时 申明 ， 它 们 拥有 比特 币 
牌照 ， 因 此 它们 是 可 以 信赖 的 。 假 如 企业 的 申明 会 posi 
往来 ， 那 么 监管 措施 正如 它 的 支持 者 设想 的 那样 ， 发 挥 了 作用 。 这 个 场景 是 否 
et nastier 


延伸 阅读 
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以 下 是 比特 币 监 管 问题 指南 : 
Brito, Jerry, and Andrea Castillo. Bitcoin: A Primer for Policymakers. Fairfax, 


VA. Mercatus Center at George Mason University, 2013. 


一 本 讲述 比特 币 社区 及 其 主要 特征 的 非 技 术 性 著作 : 
Popper, Nathaniel. Digital Gold: Bitcomn and the Inside Story of the Misfits and 
Millionaires Trying to Reinvent Money. New York: Harper, 2015. 


一 篇 曾 述 数字 货币 的 早期 作品 ， 探 讨 了 未 来 世界 如 何 保护 数字 隧 私 问题 : 


Chaum, David. “ Secunity without Identification: Transaction Systems to Make 


Big Brother Obsojlete. ” Communications of the ACM, 28 (70), 1985. 


一 项 对 信息 安全 经 济 学 的 调查 ， 其 中 讨论 了 市 场 失灵 的 一 些 原因 : 
Anderson, Ross, and Tyler Moore. “The Economics of Information Security. ” 


Science 314 (5799), 2006. 


讨论 比特 币 的 经 济 问 题 和 监管 方案 : 
Bihme, Raimner, Nicolas Christin, Benjamin Edelman, and Tyler Moore. “ Bit- 


coin: Economics, Technology, and Governance.” Journal of Economic Perspec- 


tives 29 (2), 2015. 


《纽约 州 比特 币 牌 照 提 案 》 文本 : 


New York State Department of Financial Services “Regulations of the Superin- 
tendent of Financial Services. Part 200， Virtual Currencies. ”2015. 下 载 地 址 : 
http: /A/www. dfs. ny. gov/legal/ regulations/adoptions/ dfsp200t. pdf. 
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由 于 挖 矿 算法 的 复杂 性 使 得 任何 个 人 或 团体 都 难以 操控 共识 成 形 的 过 程 ， 
控 矿 算法 被 认为 是 比特 币 系统 的 核心 。 因 为 比特 币 矿 工 通过 解 谜 来 获得 奖励 ， 
所 以 我 们 可 以 期 望 他 们 会 花 大 量 的 时 间 与 精力 去 寻找 捷径 而 更 加 快速 有 效 地 解 
沙 ， 以 增加 他 们 的 收益 。 男 一 方面 ， 如 果 有 些 工 作对 网 络 有 利 但 并 不 能 让 矿工 
更 快速 地 解 恋 ， 他 们 可 能 会 忽视 那些 工作 来 最 小 化 他 们 的 成 本 。 所 以 解 恋 的 设 
计 对 引导 和 指引 矿工 起 着 至 关 重 要 的 指导 作用 。 

在 本 章 中 ， 我 们 会 讨论 一 些 其 他 的 控 矿 解 这 (mining puzzle) 设计 ， 假 设 我 
们 可 以 改善 比特 币 的 解 这 甚至 重新 设计 一 套 新 的 解 这 过 程 。 一 个 经 典 的 设计 挑 
战 是 让 解 这 过 程 能 够 限制 ASIC 挖 矿 ， 这 样 一 来 可 以 平衡 计算 机 设备 性 能 上 的 差 
忠 (拥有 一 般 电脑 的 矿工 与 拥有 优化 过 的 ASIC 矿工 之 间 的 设备 差距 )。 还 有 什 
么 其 他 设计 是 需要 我 们 考量 的 ”有 了 哪些 行为 需要 我 们 鼓励 ， 而 哪些 需要 阻止 ? 
我 们 会 讨论 一 些 有 着 不 同 特征 的 案例 ， 从 减少 能 源 消耗 (这 对 社会 发 展 有 着 积 
极 意 义 ) ， 到 约束 挖 矿工 具 的 形成 。 有 一 些 已 经 被 另类 币 所 采用 ， 另 外 一 些 还 处 
于 理论 研究 阶段 ， 可 能 将 来 会 被 用 到 。 


8.1 算法 的 基本 要 求 
我 们 首先 来 看 一 下 一 些 控 矿 算法 的 主要 安全 要 求 。 如 果 算 法 本 身 不 能 满足 


比特 币 安 全 性 上 的 基本 要 求 的 话 ， 我 们 也 没有 必要 引入 一 些 新 奇 的 特点 。 
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已 经 有 许多 可 能 的 要 求 ， 有 些 我们 在 前 面 的 第 2 章 和 第 5 章 中 已 经 讨论 过 
控 矿 解 谜 的 结果 需要 被 及 时 验证 ， 因 为 每 个 在 网 络 上 的 节点 都 在 验证 每 个 解 迹 
的 结果 ， 即 使 是 那些 没有 直接 参与 挖 矿 的 节点 ,包括 SPV (简单 支付 验证 ) 的 
客户 端 。 我 们 还 需要 解 谜 的 难度 具有 可 调整 的 特征 ， 解 迷 难 度 可 以 随 着 新 加 入 
用 户 而 增 大 的 哈 希 算 力 得 到 调整 。 这 样 一 来 ， 解 这 过 程 就 可 以 具备 足够 的 难度 
使 得 对 区 块 链 的 攻击 变 得 代价 高 昂 ， 同 时 又 能 保证 解 这 本 身 可 以 在 一 个 稳定 的 
频率 上 实现 比特 币 系统 中 大 约 每 10 分 钟 完成 一 个 解 谜 过程) 。 


到 底 什 么 是 比特 币 的 挖 矿 解 迹 ? 

到 现在 为 止 我 们 一 直 在 用 “比特 币 解 谜 ”这 个 名 称 ， 更 加 精确 的 说 法 是 ， 
我 们 称 它 为 一 个 “不 完全 哈 布 函数 原 像 解 谜 ”(partial hash-preimage puz- 
zle) ， 因 为 这 个 运算 的 目的 ， 是 找到 一 个 不 完全 的 特定 哈 希 函数 输出 值 的 原 
像 一 一 也 就 是 一 个 低 于 某 一 特定 目标 区 值 的 结果 。 除 此 之 外 ， 一 些 罕 见 的 特 
征 也 可 以 用 来 作为 比特 币 的 挖 看 解 迹 运算， 比如 找到 一 个 区 块 ， 它 的 哈 希 函 
数值 至 少 有 上 k 个 点 位 是 零 ， 但 是 通常 直接 比较 既定 目标 是 最 简单 的 方法 ， 


比特 币 用 的 基于 SHA -256 挖 矿 解 谜 哈 希 函数 ， 很 显然 已 经 满足 了 这 两 个 要 
求 。 它 可 以 通过 任意 调节 一 个 参数 (目标 ) 来 灵活 增加 难度 。 检 查 这 个 谜底 很 


容 匈 ， 只 需要 一 个 SHA -256 计算 和 一 个 与 目标 的 比较 即 可 ， 不管 找 到 这 个 谜底 
的 过 程 有 多 么 困难 。 


另外 一 个 核心 的 要 求 更 加 微妙 : 在 任意 单位 时 间 找 到 一 个 谜底 的 成 功率 ， 
大 致 上 要 与 所 贡献 的 哈 硕 算 力 成 比例 。 这 就 意味 着 ， 大 矿工 虽然 拥有 非常 强大 
的 挖 太 机， 他 也 只 是 有 看 一 定 比 例 的 优势 来 成 为 下 一 个 找到 谜底 的 矿工 。 即 使 
是 小 矿工 ， 也 会 有 一 定 的 机 会 能 够 成 功 并 且 获 取 奖 励 

为 了 说 明 这 一 点 ,我 们 先 来 设想 一 个 没有 满足 这 个 要 求 的 不 合格 解 恋 过 程 。 
想象 一 下 某 一 个 挖 矿 解 访 要 经 过 精确 的 n 个 步骤 找到 一 个 谜底 。 例 如 ， 不 同 于 
我 们 当前 要 求 的 “找到 一 个 SHA -256 结果 低 于 某 一 个 固定 目标 的 区 块 ” 的 做 
法 ， 如 果 要 求 计算 n 个 连续 的 SHA -256 函数 值 ， 这 种 做 法 检查 结果 会 变 得 没有 
效率 ， 但 是 这 个 问题 目前 无 关 紧 要 ， 更 大 的 问题 在 于 ， 因 为 这 个 解 迹 过程 需 要 
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精确 的 n 个 步骤 来 完成 ， 所 以 网 络 上 解 谜 更 快 的 矿工 将 会 永远 是 获得 下 一 个 奖 
励 的 赢家 。 很 快 这 个 情况 就 变 得 路 人 缘 知 ， 最 快 的 矿工 会 完成 所 有 解 这 ,而 其 
他 矿工 完全 没有 动力 继续 参与 下 去 。 

再 次 声明 ， 一 个 好 的 解 谜 方案 ， 是 给 每 个 矿工 一 个 按 比例 性 的 成 功 概率 来 
赢得 下 一 个 谜底 ， 这 个 概率 是 与 他 们 所 贡献 的 哈 硕 算 力 成 比例 。 就 好 比 往 一 个 
不 同 大 小 色 块 组 成 的 目标 板 上 随机 地 掷 飞 镖 ， 每 个 不 同 大 小 色 块 就 类 似 于 不 同 
矿工 所 具有 的 挖 矿 运算 能 力 。 如 果 你 考虑 到 这 一 点 ， 这 就 意味 看 你 猜 中 文 底 的 
概率 并 不 取决 于 你 已 经 做 了 多 少 工 作 去 解 谋 (因为 大 矿工 们 总 是 会 做 更 多 的 工 
作 量 ) 。 所 以 一 个 好 的 解 於是 “无 关 过 程 的 ” (progress free) 山 。 

从 数学 角度 来 看 ， 一 个 好 的 挖 矿 解 谤 一 定 是 一 个 “无 记忆 进程 的 ” (memo- 
ryless process) 一 一 而 任何 其 他 的 方法 都 将 由 于 过 去 的 挖掘 工作 ， 不 可 避免 地 在 
一 定 程度 上 奖励 控 矿 工人 。 因 此 ， 任 何 可 行 的 解 迷 从 根本 上 都 是 一 个 不 断 试销 
的 过 程 (trial-and-error) ， 这 种 解 谜 所 需要 的 时 间 ， 必 然 服从 一 个 指数 分 布 2 ， 
我 们 曾 在 第 2 草 讨论 过 。 

可 以 调整 的 难度 、 快 速 验证 和 无 关 过 程 属性 ， 是 比特 币 挖 矿 解 迹 的 三 大 核 
心 特征 。 基 于 SHA -256 算法 的 “不 完全 哈 硕 郧 数 原 像 解 认 ” 显 然 满足 了 这 三 
大 要 求 。 有 些 人 可 能 会 说 其 他 一 些 特征 也 很 重要 ， 我 们 在 后 面 讨论 其 他 淤 在 功 
能 的 时 候 会 提 及 。 


8.2 反 ASIC 解 迹 算法 


首先 我 们 从 讨论 设计 一 个 可 以 反 ASIC 解 谈 (ASIC-resistant puzzles) 的 挑战 
开始 ， 这 个 挑战 也 是 最 被 广泛 讨论 和 追求 的 可 替代 日 前 比特 币 挖 矿 解 访 的 一 种 。 
我 们 在 第 5 曹 中 讨论 过 ， 比 特 币 控 矿 最 初 是 用 普通 电脑 ， 然 后 再 升级 到 CPU 和 








DD 意思 是 来 得 早 ， 不 如 来 得 巧 ， 但 这 个 巧 后 面 的 学 问 就 大 了 ,一 一 译 者 注 
四 旅客 进入 机 场 的 时 间 间 隅 也 是 一 个 指数 分 布 ， 后 面 进来 一 个 人 的 时 间 间 隔 与 前 面 进来 人 的 时 间 间 
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定制 化 的 FPGA 设备 ， 到 现在 基本 上 由 非常 强大 的 优化 过 的 ASIC 必 片 所 垄断 。 
现在 的 ASIC 的 挖 矿 运算 能 力 比 一 般 电 脑 甚至 早期 的 ASIC 都 要 高 太 多 。 一 般 的 
电脑 即使 硬件 本 身 是 免费 的 ， 也 会 因为 电费 价格 等 因素 而 变 得 不 可 行 。 

这 个 转变 意味 着 ， 在 比特 币 生 态 系统 里 的 大 部 分 个 体 〈 例 如 使 用 比特 币 交 
易 的 客户 和 商家 ) 已 经 无 法 参与 到 挖 矿 过 程 中 了 。 有 些 人 认为 这 是 一 个 人 危险 的 
势头 ， 一 小 部 分 职业 矿工 控制 了 整个 挖 矿 的 过 程 。 在 中 本 聪 最 初 有 关 比 特 币 的 
论文 里 ， 用 到 过 “一 个 CPU 一 票 ” 的 说 法 ， 这 个 说 法 时 不 时 被 有 些 人 用 来 说 明 
比特 币 应 该 是 一 个 被 全 部 用 户 所 拥有 的 民主 系统 。 

其 他 人 觉得 ASIC 的 崛起 是 不 可 避免 的 ， 而 且 这 也 不 会 伤害 到 比特 币 ， 这 种 

希望 实现 反 ASIC 的 愿望 也 只 是 有 些 人 希望 回 到 “过 去 的 好 时 光 ”。 对 于 反 ASIC 
是 否 可 取 ， 我 们 保持 中 立 的 态度 ， 因 为 只 有 这 样 ， 我们 才 可 以 深入 讨论 一 些 技 
术 上 的 挑战 和 提议 的 方案 ， 来 实现 反 ASIC 的 目标 。 


反 ASIC 到 底 是 什么 意思 

大 至 上 说 ， 我 们 想 抑 制 为 了 挖 矿 而 特别 定制 的 设备 的 优势 。 这 也 可 以 理解 
为 ， 设 计 一 个 解 谋 程 序 ， 让 现 有 的 普通 电脑 成 为 最 廉价 和 最 有 效率 的 解 谜 运算 
没 备 。 但 这 在 现实 中 不 可 能 ， 毕 竟 所 有 的 通用 电脑 的 中 央 处 理 需 里 已 经 针对 一 
些 特殊 目的 进行 了 优化 。 并 不 是 所 有 的 电脑 都 有 相同 的 优化 配置 ， 并 且 它 们 随 
着 时 代 而 改变 。 比 如 ， 过 去 的 10 年 中 ， 英特尔 (Intel) 和 AMD 在 必 片 里 加 入 
特殊 指令 (通常 叫 作 “增加 便 件 支持 ") 来 更 加 有 效 地 计算 高 级 加 密 标 准 ( Ad- 
vanced Encryption Standard ， 简 称 AES) 的 区 块 密码 。 所 以 有 些 电脑 在 控 矿 这 个 
事情 上 总 是 会 比 其 他 电脑 更 加 低 效 。 男 外 ， 很 难 想 象 设计 一 个 挖 矿 解密 程序 ， 
而 这 些 程序 TT wp 
些 通 用 特性 的 具有 特殊 目的 的 设备 ， 很 可 能 会 更 有 效率 ， 并 且 成 本 更 低 。 

更 加 实际 地 说 ， ae Cd 尺 可 能 地 减 
少 最 有 效率 的 定制 运算 设备 与 通用 电脑 之 间 的 效率 差距 。ASIC 还 是 会 不 可 避免 
地 成 为 更 加 有 效 的 控 矿 机 ， ee 
从 而 让 个 人 用 户 使 用 他 们 已 有 的 通用 电脑 来 挖 矿 仍 具备 一 定 的 经 济 效 应 。 
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刚性 内 人 存 解 迹 

大 多 数 被 设计 成 反 ASIC 的 解 谜 程序 中 ,最 普遍 被 应 用 的 叫 作 刚性 内 存 解 迹 
( memory-hard puzzles) 一 一 解 迹 需 要 大 量 的 内 存 来 计算 ， 而 不 是 徘 大 量 的 CPU 
时 间 。 一 个 类 似 但 又 不 一 样 的 概念 是 内 存 限 制 解 谜 (memory-bound puzzles)， 伦 
在 读 取 内 存 上 的 时 间 ， 占 据 了 这 种 程序 大 部 分 的 计算 时 间 。 一 个 解 谜 可 以 是 刚 
性 内 存 类 而 不 是 内 存 限 制 类 ,或 是 内 存 限 制 类 而 不 是 刚性 内 存 类 ， 或 是 二 者 天 
而 有 之 。 一 个 微妙 但 重要 的 区 别 在 于 ， 虽然 CPU 的 速度 是 计算 时 间 的 瓶颈 ， 但 
平行 运算 大 量 解 谜 的 成 本 ,还 是 被 内 存 的 成 本 所 左右 ,或 者 反之 亦 然 。 通 常 对 
于 运算 类 的 解 恋 程 序 ， 我 们 要 做 到 刚性 内 存 和 内 存 限 制 ， 就 需要 保证 在 运算 过 
程 中 大 量 的 内 存 被 要 求 使 用 ， 使 之 成 为 一 个 限制 性 因素 。 

为 什么 刚性 内 存 解 谜 或 内 存 限制 解 谜 可 以 反 ASIC? 因为 用 来 计算 哈 希 水 数 的 
逻辑 运算 只 占 了 CPU 里 的 一 小 部 分 ， 意 思 是 在 比特 币 的 解 谜 计算 里 ，ASIC 不 需要 
执行 一 些 不 必要 的 功能 ， 而 只 需要 执行 计算 哈 布 晒 数 的 相关 功能 ， 所 以 占 了 很 大 
优势 。 另 外 一 个 相关 因素 是 ,不 同 的 内 存 性 能 上 的 差异 〈 和 单位 性 能 的 成 本 ) 比 
不 同 处 理 器 之 间 运 算 速 度 上 的 差异 要 小 很 多 ， 所 以 ， 如 果 我 们 设计 了 一 个 刚性 内 
存 类 的 解 迷 ， 计 算 时 需要 相对 简单 的 算 力 但 需要 大 量 的 内 存 ， 这 就 意味 者 ， 解 密 
成 本 的 上 升 速 率 将 会 像 内 存 成 本 提升 速率 那样 ， 在 一 个 相对 低 一 些 的 水 平 。D 

SHA -256 已 经 被 认定 为 不 是 刚性 内 存 解 谜 算法 。 它 只 需要 一 个 小 小 的 256 
位 模块 ， 可 以 很 容易 地 被 放 进 CPU 的 注册 机 里 。 但 设计 一 个 刚性 内 存 类 的 工作 
量 证 明 解 谜 不 是 一 件 太 难 的 事 。 

Scrypt 

现在 最 受 欢 迎 的 刚性 内 存 解 谜 叫 作 Secrypt2， 被 第 二 大 加 密 数 字 货 币 莱特 币 
QD 也 就 是 伦 帘 更 多 去 提高 内 存 的 效能 ， 并 不 能 以 相同 比例 去 提高 解 这 的 效能 。 一 一 译 者 注 
@， scerypt 是 由 着 名 的 FreeBSD 黑客 Colin Percival 为 他 的 备份 服务 Tarsnap 开发 的 。Scrypt 不 仅 计算 所 需 时 

间 长 ， 而 且 占 用 内 存 也 多 ， 使 得 并 行 计 算 多 个 摘要 异常 困难 ， 因 此 利用 rainbow table 进行 暴力 攻击 更 加 
困难 。Scrypt 没有 在 生产 环境 中 大 规模 应 用 ， 并 且 缺 乏 仔细 的 审 察 和 广泛 的 函数 库 支 持 。 一 一 译 者 注 
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以 及 其 他 加 密 数 字 贷 币 所 用 。 

Scrypt 是 一 个 刚性 内 存 的 哈 希 图 数 ， 最 早 是 为 了 加 蜜 密码 而 不 容易 被 骏 力 破 
解 (比如 ， 反 复试 错 破解 ) ， 所 以 挖 矿 解 谜 与 比特 币 用 的 “不 完全 哈 布 困 数 原 像 
解 恋 ”是 一 样 的 ， 只 不 过 用 Serypt 取代 了 SHA -256。 

Scrypt 在 比特 币 被 发 明 出 来 之 前 就 已 经 存在 ， 而 且 它 是 用 来 加 密 个 人 密码 ， 
这 一 点 让 我 们 对 它 的 安全 性 有 一 定 的 信心 。 密 码 的 哈 希 函数 化 其 实 与 反 ASIC 有 
着 相似 的 目的 。 出 于 安全 性 考虑 ， 我 们 期 望 ， 一 个 有 着 定制 化 设备 的 攻击 者 不 
能 够 比 使 用 一 般 电 脑 或 者 服务 硕 的 用 户 更 快 地 计算 密码 的 困 数 值 。 

Scrypt 基本 上 有 两 个 步骤 : 第 一 个 步骤 是 在 用 随机 数据 填充 随机 存 取 存储 上 需 
(Random Acess Memory， 人 简称 RAM) 里 面 的 缓存 空间 ; 第 二 步 是 从 这 块 内 存 区 
域 里 虚拟 随机 地 读 取 (或 者 更 新 ) 数据 ， 同时 要 求 整个 缓存 都 存储 在 RAM 
里 面 。 

i def scrypt(N, seed): 
V = [68]* NW 和 初 如 化 N 长 度 的 滥 存 区 域 


ff 入 这 个 区 域 里 充满 虚 氢 随机 数 
V[86] = seed 
TOF 下 = 1 to0 Ns 

V[i] = SHA-256(V[i-1]) 


1/ 然后 从 这 个 区 域 里 虚拟 随 总 地 话 取 
X = SHA-256(V[N-1]) 
tor 1 = 1 to N: 
j = X % NW 根据 XX， 选择 一 个 随机 的 综 引 
SHA-256(X ^ V[j]) 7W 很 据 X 的 索 相 来 更 痢 这 个 X 


J 
X 
return Xx 


图 8.1 Scrypt 虚拟 代码 


图 8. 1 展示 了 一 段 Serypt 的 伪 代 码 (pseudocode) 来 体现 核心 的 计算 原则 ， 
但 我 们 也 省 略 了 一 些 细节 一 一 在 实际 中 ，Scrypt 使 用 更 大 一 点 的 数据 块 ， 然 后 用 
来 充满 缓存 区 的 算法 略微 复杂 一 点 。 

为 了 理解 为 什么 Serypt 是 刚性 内 存 类 的 ， 我 们 先 想象 一 下 如 果 我 们 要 计算 
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同样 的 值 ， 但 不 用 缓存 区 V ( 参见 图 8. 1) 。 这 当然 也 是 可 行 的 一 一 但 在 第 9 行 
代码 里 ， 我 们 需要 重新 动态 地 计算 值 Y [jj ， 这 需要 进行 j 次 的 SHA - 256 的 达 


代 运 算 。 因 为 j 的 值 在 每 次 迭代 循环 里 会 从 0 和 N -1 中 虚拟 随机 地 选择 ， 因 此 
这 平均 需要 N/2 次 SHA -256 计算 。 这 意味 着 计算 整个 函数 需要 N x N/2=N /2 
个 SHA -256 计算 ， 但 是 如 果 使 用 一 个 缓存 的 话 ， 只 需要 进行 2N 次 运算 。 因 
此 ， 缓 存 的 使 用 将 Serypt 的 时 间 复 杂 度 从 0 (N ) 转换 成 O(n)。 这 样 一 来 ， 
只 要 简单 地 选 一 个 足够 大 的 N 值 使 得 O(N ) 的 计算 变 得 足够 乙 ， 以 此 确保 使 
用 内 存 是 更 快 的 选择 。 


在 时 间 与 内 存 之 间 的 权衡 

如 果 没 有 一 个 较 大 的 内 存 缓存 ， 计 算 Serypt 会 变 得 很 慢 ， 但 是 用 较 少 的 内 
存 来 增加 相对 较 少 的 计算 还 是 可 能 的 。 假 设 我 们 使 用 一 个 大 小 约 N/2 的 缓存 
(而 不 是 N 的 大 小 ) ， 现 在 ， 我 们 只 在 j 是 偶数 的 情况 储存 V [jj 的 值 ， 丢 抒 那 
些 j 是 奇数 的 值 。 而 在 第 二 次 循环 里 ， 一 半 的 情况 下 j 为 奇数 的 全 将 会 被 选 到 ， 
但 这 种 情况 还 是 很 容易 被 计算 的 。 我 们 只 需要 简单 地 计算 SHA -256 (V [|j- 
1]) ， 因 为 V Dj -1j 在 我 们 的 缓存 里 局 在 一 半 的 时 间 内 会 产生 这 种 情况 ， 所 
以 它 增加 了 N/2 个 额外 的 SHA -256 计算 。 

因此 ， 对 内 存 要 求 量 的 减 半 只 会 增加 1/4 的 SHA -256 计算 量 (从 2N 
到 SNZ2 ) 。 总 体 来 说 ， 我 们 可 以 储存 缓存 区 域 V 里 的 每 个 k 排 数据 ， 即 使 
用 NAk 的 内 存 和 计算 (k+3) N/2 次 的 SHA -256 迭代 计算 。 在 这 个 限制 
下 ， 如 果 我 们 设 定 k=N， 我们 就 回 到 先前 运算 时 间 为 O(N ) 的 计算 。 这 
些 数字 不 一 定 非 第 精确 地 适用 于 Scrypt 算法 本 号， 但 是 渐 近 预测 的 方式 确实 
是 适用 的 。 

除 此 之 外 ， 还 有 其 他 的 设计 可 以 弱化 用 时 间 来 换取 内 存 的 能 力 。 举 例 来 说 ， 
如 采 一 个 绥 存 持续 地 在 第 二 次 循环 中 被 更 新 ， 它 可 以 让 时 间 与 内 存 之 间 的 互 换 
不 是 那么 有 效 ， 因 为 这 些 更 新 必须 被 储存 在 内 存 中 。 


mD j 是 奇数 时 ， 减 工 为 偶数 ， 我 们 存 的 是 有 偶数 的 值 的 。 一 一 译 者 注 
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校 验 成 本 

Scrypt 的 另 一 个 局 限 性 是 ， 它 需要 用 与 计算 所 用 的 同样 大 小 的 内 存 来 做 校 
验 。 为 了 让 内 存 刚性 有 意义 ，N 需要 变 得 比较 大 。 这 意味 着 一 个 Secrypt 的 计算 
要 比 一 个 SHA -256 的 迭代 计算 (在 比特 币 里 只 需要 一 个 SHA -256 计算 就 可 以 
校 验 ) 昂贵 许多 傍 。 

这 会 产生 负面 的 结果 ， 因 为 在 网 络 里 的 每 个 用 户 必须 重复 这 个 计算 来 检查 
每 一 个 新 发 现 的 区 块 是 否 有 效 。 这 会 减缓 新 区 块 传播 和 被 认可 的 速度 ， 从 而 增 
加 了 分 义 攻 击 了 的 风险 。 它 还 要 求 每 个 客户 端 ( 即使 是 轻 量 级 的 SPV 客户 病 ) 
拥有 足够 的 内 存 来 有 效 地 进行 函数 计算 。 这 样 一 来 ,实际 上 在 加 密 数 字 仙 币 中 
能 够 被 Scrypt 用 到 的 内 存 N 是 有 限 的 。 

一 直到 最 近 我 们 都 不 明确 ， 是 否 有 可 能 设计 一 个 挖 矿 解 谜 程序 在 计算 上 是 
刚性 内 存 类 的 ， 又 可 以 很 快 地 (不 需要 大 量 内 存 ) 进行 校 验 。 这 个 特性 对 密码 
进行 哈 希 运算 没有 多 大 作用 ， 在 用 于 加 密 数 字 赁 币 之 前 ， 这 是 Serypt 算法 的 主 
要 用 途 。 

在 2014 年 ,一 个 叫 作 杜鹃 乌 周 期 的 新 解 谜 算法 被 约 萌 * 特 龙 普 (John 
Tromp) 所 提出 (起 这 个 名 字 是 因为 这 个 算法 的 特性 与 杜 鹏 马 的 特性 类 似 ， 杜 占 
你 梨 )。 杜 鹏 乌 周 期 算法 ， 是 从 杜 鹏 鸟 哈 希 表 所 衍生 的 一 张 图 中 寻找 周期 的 难度 
而 设 定 的 ， 杜 鹏 鸟 哈 希 表 这 种 数据 结构 在 2001 年 才 被 首次 提出 。 除 了 建立 起 一 
个 很 大 的 哈 希 表 之 外 ， 没 有 其 他 已 知 的 方法 来 计算 这 个 周期 ， 结 有 果 却 可 以 通过 
发 现 一 个 周期 ( 相对 小 的 ) 来 简单 地 验证 。 

这 个 算法 可 能 会 让 刚性 内 存 或 是 内 存 限 制 类 的 证 明 工 作 在 比特 币 共 识 里 变 
得 更 加 实用 。 可 惜 的 是 ， 这 个 了 痕 数 无 法 在 数学 上 证 明 ， 如 果 它 不 用 内 存 的 话 就 
不 能 被 有 效 地 计算 。 通 常 ， 一 个 新 的 密码 学 算法 看 起 来 都 是 安全 的 ,但 是 社区 
会 对 它 持 有 保留 意见 ， 生 到 它 存在 了 多 年 而 没有 被 破 解 过 。 因 为 这 个 缘 败 ， 并 
且 因 为 它 也 是 最 近 才 被 发 明 的 ， 当 前 杜 通 乌 周 期 算法 还 没有 被 任何 加 密 数字 货 


D 有 关 分 又 攻击 的 内 容 ， 可 以 参见 本 书 第 5 章 。 一 一 译 者 注 
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币 所 采用 。 


实际 应 用 中 的 Scrypt 

Scrypt 被 许多 种 加 密 数 字 货 币 所 使 用 ， 包 括 莱 特 币 在 内 的 几 种 热门 币 ， 结 来 
好 坏 参 半 。 针 对 莱特 币 Scrypt 算法 参数 的 ASIC 已 经 存在 (然后 锐 其 他 几 种 为 类 
币 所 复制 ) 。 邻 人 惊讶 的 是 ， 相 较 于 大 众 电脑 ， 这些 ASIC 在 算 力 上 的 提高 比 起 
SHA - 256 相对 普通 电脑 的 提高 ， 至 少 旗 鼓 相当 甚至 要 更 大 ! 所 以 ，Scrypt 最 终 
还 是 无 法 反 ASIC， 至 少 在 莱特 币 上 是 如 此 。 莱 特 币 的 设计 者 起 初 宣 称 反 ASIC 
是 莱特 币 的 一 大 优势 。 但 现在 他 们 已 经 收回 了 这 个 说 法 。 

这 可 能 是 莱特 币 所 用 的 数值 N (内 存 使 用 参数 ) 比较 低 所 造成 的 ， 它 只 要 
求 128KB 就 可 以 进行 计算 (如果 使 用 时 间 内 存 互 换 的 模式 ， 可 能 所 需要 的 内 存 
更 低 ， 这 也 被 普遍 用 于 CPU 以 获得 更 快 的 缓存 )。 低 数值 N 使 设计 一 个 不 需要 
ai 总 线 的 轻 量 级 控 矿 ASIC 变 得 很 容易 ， 通 篆 这 种 复杂 的 总 线 是 庶 
取 十 亿 字 节 (Gigabytes) 级 别 的 随机 存 取 存储 占有 所 需要 的 ， 而 这 些 通 用 电脑 都 
具备 。 莱 特 币 的 开发 者 没有 选择 一 个 比较 高 的 内 存 参 数 ( 这 会 使 ASIC 更 加 难以 
设计 )， 因 为 他 们 认为 高 内 存 参 数 所 导致 的 高 成 本 的 校 验 过 程 是 不 太 现 实 的 。 


其 他 抵抗 ASIC 的 万 法 

请 回忆 一 下 ， 我 们 的 初衷 是 想 让 可 以 大 幅度 提升 计算 性 能 的 ASIC 的 开发 变 
得 困难 。 刚 性 内 存 解 迷 只 是 其 中 一 个 方法 ， 还 有 其 他 方法 。 

遗憾 的 是 ， 其 他 的 方法 都 不 是 很 科学 ， 并 且 没 有 作为 刚性 内 存 晒 数 而 被 
设计 过 或 者 攻击 过 。 最 有 名 的 一 个 叫 作 X11， 其 实 就 是 把 11 个 不 同 的 哈 希 肯 
数 结合 在 一 起 ， 被 一 个 叫 作 “黑暗 币 ” (Dark Coin) 的 另类 币 所 用 (后 面 这 
个 另类 币 改 名 叫 DASH) ,在 DASH 之 后 也 被 其 他 一 些 另 类 币 所 使 用 。X11 的 
目的 是 使 设计 一 个 有 效 的 ASIC 变 得 十 分 复杂 ， 因 为 所 有 的 11 个 函数 的 计算 
模块 都 要 在 芯片 上 被 实施 。 但 这 其 实 对 硬件 设计 者 来 说 ， 也 不 过 是 一 个 小 小 
的 不 方便 而 已 。 如 果 有 一 个 针对 X11 的 ASIC 诞生 ， 那 么 马上 会 废弃 掉 X11 的 
CPU 和 GPU 控 矿 。 
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人 3 x11 的 哈 希 函数 出 自 何 处 ? 





从 2007 年 至 2012 年 ， 美 国 国家 标准 委员 会 组 织 了 一 个 竞赛 ， 这 个 竞赛 选 
取 新 的 哈 希 函数 家 族 来 作为 SHA -3 的 标准 ， 大 量 包 含 了 设计 文档 和 源 代码 的 
哈 希 函 数 作为 候选 方案 被 提交 。 虽 然 有 很 多 候选 方案 在 竞赛 中 被 证 实 并 不 符 
合 密码 学 安全 规范 ， 但 其 中 有 24 个 哈 希 函数 经 受 住 了 所 有 已 知 的 密码 学 攻 
击 ，X11 选择 了 其 中 的 11 种 ， 包 括 获得 最 终 胜利 的 Keccak 吃 。 


另外 被 提出 但 还 没有 被 实施 的 一 个 方法 是 使 用 一 个 移动 的 目标 值 来 作为 控 
人 矿 解 迷 。 也 就 是 说 ， 解 这 算法 本 身 就 会 变化 ， 就 像 比特 币 里 的 难度 会 周期 性 地 
收 变 一 样 。 在 理想 的 状态 下 ， 为 上 一 个 解 迹 算法 而 被 优化 过 的 挖 矿 人 硬件 ， 对 下 
一 个 解 这 算法 不 再 适用 。 我 们 不 是 很 清楚 要 多 和 久 改 变 一 次 解 这 算法 ， 才 能 达到 
我 们 需要 的 安全 要 求 。 如 果 这 是 由 另类 币 的 开发 者 所 决定 的 ， 这 可 能 就 变 成 了 
一 种 不 可 接受 的 中 心 化 来 源 。 比 如 ， 开 发 者 可 以 根据 他 们 已 经 开发 出 来 的 一 种 
硬件 (或 者 只 是 优化 过 的 FPFGA)， 去 设计 一 个 相对 应 新 的 解 谜 算法 ， 他 们 自然 
就 有 了 针对 这 个 新 算法 的 早期 优势 。 

或 许 这 些 解 密 算法 的 顺序 能 够 被 自动 生成 ,但 这 看 上 去 也 很 难 。 一 个 想法 
是 选择 一 大 堆 哈 希 池 数 (比如 24 个 没有 被 攻破 的 基于 SHA -3 的 算法 )， 然后 
每 个 用 上 6 个 月 到 一 年 ， 在 这 么 短 的 周期 里 很 难 开发 新 的 人 硬件。 当然 如 果 这 
顺序 安排 被 事先 知道 ， 相 应 的 硬件 设计 就 可 以 按照 函数 使 用 的 时 间 表 来 进 


ASIC 的 蜜月 

目前 市 面 上 还 没有 针对 X11 的 ASIC 面世 ， 即 便 都 清楚 这 种 芯片 的 生产 是 可 
能 的 ， 这 种 现象 显示 了 可 能 很 有 用 的 规律 。 因 为 适用 X11 算法 的 另类 币 的 市 值 
部 不 高 ， 何 单 来 说 ， 还 没有 足够 的 市 场 价 值 吸 引 人 去 设计 和 生产 针对 X11 的 
ASIC 。 一 般 来 说 ， 设 计 ASIC 的 前 期 投入 都 很 高 (不管 是 时 间 还 是 资金 )， 同 时 


”Keccak 算法 为 SHA -3 的 一 种 加 密 标 准 一 一 译 者 注 
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生产 单个 硬件 的 利润 相对 来 说 比较 低 。 因 此 ， 对 于 新 的 还 没有 被 证 实 的 加 密 数 
字 货 币 ， 是 不 值得 去 投资 研发 针对 性 的 ASIC， 因 为 在 新 的 硬件 设备 可 用 之 前 这 
个 货币 就 可 能 失败 了 。 即 使 有 一 个 明显 的 市 场 需求 ， 也 会 有 便 件 人 研发 生产 到 出 
货 的 延迟 。 第 一 批 比 特 币 的 ASIC 从 最 初 设计 到 最 终 出 货 花 了 近 一 年 时 间 ， 这 在 
人 硬件 行业 里 已 经 算是 很 快 了 . 

正 因为 如 此 ， 任 何 使 用 新 的 控 矿 解 这 算法 的 另类 币 都 会 经 历 一 个 ASIC 蜜月 
期 ， 在 这 段 时 间 内 ,用 GPU 和 FGPA 挖 矿 (或 许 CPU 挖掘) 的 利润 会 比较 高 。 
对 于 永久 阻止 ASIC 的 浪潮 不 太 可 能 ,但 是 吸引 个 人 参与 挖 矿 (并 且 因 此 而 获得 
新 币 ) 的 做 法 ， 在 新 币 还 处 于 步步为营 的 阶段 ， 还 是 有 价值 的 。 


对 于 抵抗 ASIC 的 争论 

我 们 已 经 可 以 看 到 ， 从 长 远 来 讲 做 到 反 ASIC 是 不 太 可 能 的 。 但 是 也 有 一 些 
其 他 意见 ， 觉 得 从 已 经 被 证 明 的 SHA -256 解 这 算法 转变 为 一 个 密码 学 角度 仿 弱 
的 新 解 迷 算法 ， 会 存在 一 定 的 风险 。 甚 者 ，SHA - 256 的 挖 矿 ASIC 已 经 接近 当 
今 硬件 效能 的 极限 了 。 这 意味 着 ，ASIC 所 带 来 的 指数 型 增长 可 能 结束 了 ， 之 后 
SHA -256 挖 矿 也 会 因此 给 网 络 带 来 最 大 的 稳定 性 

最 后 ， 还 有 一 种 意见 认为 ， 在 短期 内 反 ASIC 也 不 好 。 在 第 3 章 中 ,我 们 曾 
探讨 过 即使 一 个 拥有 全 网 51% 算 力 的 矿工 ， 他 如 车 尝 试 做 出 很 多 类 型 的 攻击 ， 
也 并 不 理性 。 因 为 这 样 一 来 会 使 币值 汇率 衣 溃 ， 使 得 矿工 在 控 矿 设备 上 的 巨额 
投资 大 幅 减 但 ， 他 通过 挖掘 赚 来 的 比特 币 的 价值 也 会 大 幅 下 降 。 

对 于 一 个 高 度 反 ASIC 的 解 这 算法 ,这 个 安全 性 的 说 辞 可 能 会 站 不 住 脚 。 举 
例 来 说 ,一 个 攻击 者 可 能 会 暂时 租用 巨大 算 力 [比如 像 亚 马 逊 (Amazon) 的 
EC2 服务 | ， 用 它 来 攻击 ， 然 后 不 会 承受 任何 财务 上 的 损失 ， 因 为 他 们 不 需要 在 
攻击 后 继续 租用 这 个 服务 。 相 比较 而 言 ， 对 于 一 个 “对 ASIC 友好 ”的 解 谜 算 
法 ,攻击 者 就 不 得 不 控制 一 大 堆 只 可 以 用 作 加 密 货 币 挖 矿 的 ASIC。 这 样 的 一 个 
攻击 者 其 实 应 该 是 看 好 比特 币 未 来 的 发 展 ， 做 了 一 个 最 大 限度 的 投资 。 按 照 这 
个 届 辑 进行 推理 的 话 ， 为 了 最 大 限度 地 保护 安全 ， 或 许 挖 矿 解 恋 算 法 应 该 被 设 
计 成 不 仅仅 要 让 有 效 的 挖 矿 ASIC 被 设计 生产 出 来 ， 更 应 该 让 那些 ASIC 除了 用 
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于 加 密 货币 的 解 恋 运 算 之 外 ， 没 有 任何 其 他 用 途 ! 


8.3 有效 工作 量 证 明 


在 第 5 革 ， 我们 讨论 了 比特 币 挖 矿 的 能 量 消耗 (有些 人 会 说 是 浪费 ) 是 个 
潜在 问题 ， 经 济 学 家 称 之 为 负 外 部 性 。 我 们 估计 比特 币 挖 矿 要 消耗 几 十 万 千瓦 
的 电能 。 所 以 一 个 明显 的 问题 是 ， 这 些 用 来 解 谜 运算 的 工作 量 是 否 对 社会 有 所 
贡献 ? 这 其 实 是 一 个 资源 髓 生 循 环 的 问题 ， 也 会 增加 社会 对 加 密 数 学 贫 币 的 政 
策 支 持 。 当 然 ， 这 个 解 六 算法 也 必须 满足 几 个 基本 的 要 求 ， 才 能 够 在 一 个 共识 
协议 里 被 使 用 。 


以 前 的 分 布 式 计 算 项 目 

在 比特 币 诞 生 好 多 年 之 前 ， 就 有 利用 空 内 的 电脑 [或 者 叫 “ 空 用 周期 
(spare cycle) ] 来 做 一 些 其 他 工作 的 想法 。 表 8. 1 列 出 了 最 受 欢迎 的 几 个 志愿 者 
运算 项 目 。 所 有 这 些 项 目 都 有 一 个 特性 ， 使 得 它们 适合 成 为 解 迷 算法 的 运算 。 
具体 来 说 ,它们 需要 解决 的 痢 是 一 种 “大 海 捞 针 ”型 的 问题 ， 可 能 的 答案 存在 
于 一 个 非常 大 的 空间 〈 或 者 说 范围 ) ， 搜 索 空 间 的 每 一 小 部 分 都 可 以 进行 并 行 的 
快速 验证 。 最 有 名 的 例子 是 在 SETI@ home 网 站 上 ， 志 愿 者 们 被 分 配 一 小 段 无 线 
电信 号 ， 用 闲置 的 个 人 电脑 来 分 析 这 段 信号 可 能 存在 的 模式 以 寻找 外 星 文明 ， 
同时 分 布 式 计算 网 站 (distributed. net) 的 志愿 者 被 分 配 一 小 段 可 能 的 私 钥 来 进 
行 验证 。 寺 

志愿 者 运算 项 上 日， 成 功 地 把 一 个 很 大 的 计算 任务 拆 分 成 小 份 的 任务 ， 然 后 
分 配给 每 一 个 志愿 者 进行 运算 检查 。 事 实 上 ， 这 种 模式 在 一 个 特别 的 叫 作 伯 克 
利 开 放 式 网 络 计算 平台 (了 Berkeley Open Infrastructure for Network Computing， 简 称 
BOINC) 上 是 很 普遍 的 ， 这 个 平台 被 开发 出 来 就 是 用 来 给 不 同 的 个 体 分 发 小 份 





1 大 约 有 500 万 人 参加 这 个 计划 ， 包 括 译 者 本 人 译 者 注 
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额 计 算 工 作 的 。 
在 这 些 应 用 里 ， 志 愿 者 们 主要 都 是 被 解决 某 个 问题 的 兴趣 所 吸引 ， 即 使 这 
些 项 目 通常 也 会 设立 一 个 排行 榜 来 让 人 们 炫耀 他 们 所 贡献 的 算 力 。 排 行 傍 也 寻 
致 一 些 人 在 自己 的 工作 量 上 作 次 ， 有 一 些 被 报告 的 工作 量 其 实 并 没有 实际 完成 ， 
这 也 使 得 有 些 项 目 再 分 配 一 些 额外 的 工作 去 检查 网 络 上 的 这 种 作 尊 行为。 金钱 ， 
是 加 密 数 字 货币 分 布 式 计算 应 用 的 动力 ， 只 要 技术 上 是 可 能 的 ， 一 定 会 有 参与 
尝试 去 作 癣 。 


表 8.1 热门 的 志愿 者 运算 项 目 


项 目 成 立时 间 目标 影响 
Great Internet 本 连续 12 次 发 现 最 大 的 质数 包括 


1996 年 ”找到 大 的 梅森 质数 D 5788516 


Mersenne Prime Search 


一 】 


J 扑 三 性 大 / 
distributed. net 1997 年 密 但 学 的 棒 力 破解 ”首次 公开 成 功 地 骏 力 破解 了 64 


滨 示 位 的 密码 私 钥 

乞 今 为 止 最 大 的 分 布 式 计算 项 
SETI@Hh 1999 年 寻找 外 旺 
ome 年 ”寻找 外 星人 日 ， 有 500 万 以 上 的 参与 者 
pi -和 蛋 和 白 质 折 县 模拟 在 ”史上 最 大 算 力 的 志愿 者 运算 项 
olding@ home 2000 年 
原子 级 别 上 的 实现 ” 目 ， 超 过 118 篇 科技 论文 被 发 表 
有 效 工 作 量 证 明 的 挑战 


有 了 这 些 成 功 的 项 目 ， 我 们 可 以 和 莹 试 简单 直接 地 利用 这 些 解 决 问题 的 成 功 
方法 。 例如， 在 SETIQ home 的 项 目 中 ， 志 愿 者 们 被 分 配 一 小 段 无 线 电信 号 监听 
去 寻找 外 星人 ， 我 们 可 以 判断 ， 外 星人 存在 的 概率 ， 有 要 比 解 迹 算 法 找到 “获胜 ” 
答案 并 且 人 允许 找到 答案 的 矿工 去 创建 一 个 区 块 的 概率 小 很 多 。 

但 这 个 想法 有 几 个 问题 。 首先 ， 并 不 是 所 找到 的 答案 都 有 同样 的 概率 成 为 
“获胜 ”的 答案 。 与 可 能 人 意识 到 有 特定 区 志 会 有 更 高 到 异类 、 那么 
参与 者 就 会 有 倾 问 性 ， 只 针对 一 些 能 产生 不 同 寻常 结果 的 区 域 进行 分 析 。 对 于 

一 个 中 心 化 的 项 目 来 说 ， pm 
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( 当然 对 最 有 和 希望 的 区 域 会 子 以 优先 考量 ) 。 对 于 控 矿 来 说 ， 任 何 矿 工 可 以 随意 
尝试 任何 区 块 ， 所 以 矿工 会 先 涌 向 最 有 希望 的 区 块 。 如 果 更 快 的 矿工 知道 他 们 
可 以 先 党 试 最 有 希望 的 区 块 ， 这 就 意味 着 解 这 算法 可 能 不 是 一 个 过 程 无 关 的 算 
法 。 比 特 币 的 解 谜 算法 与 之 相 比 就 有 不 同 ， 比 特 币 的 解 谜 算法 中 用 来 产生 一 个 
有 效 区 块 的 临时 随机 数 都 是 完全 平等 的 ， 所 以 所 有 矿工 都 会 随意 选择 一 个 临时 
随机 数 去 尝试。 这 个 问题 展示 了 我 们 之 前 都 已 经 习以为常 的 比特 币 解 迹 算法 的 
一 个 主要 特征 : 一 个 机 会 均等 的 解 谜 区 域 。 

其 次 ， 考 虑 到 SETI@ home 项 目 中 存在 着 固定 的 数据 量 需要 被 分 析 的 问题 ， 
这 些 数据 基于 射电 望远镜 (radio telescope) 的 观察 。 随 着 挖 矿 算 力 的 不 断 增长 ， 
有 可 能 某 一 天 就 没有 需要 加 工 的 数据 了 。 比 特 币 在 这 方面 也 有 不 同 ， 比 特 币 算 
法 有 无 限 的 SHA -256 解 谜 可 以 被 创造 出 来 ,这 就 说 明了 男 一 个 重要 的 特征 需 
求 : 永 不 枯 酒 的 解 这 库 。 

最 后 ， 考 虑 到 SETI@ home 的 项 目 中 ， 有 一 个 受信 任 的 中 心 化 的 管理 员 机 
构 ， 负 责 发 现 新 的 无 线 电 信号 并 判断 志愿 者 们 应 该 研究 的 内 容 。 同 样 ， 由 于 我 
们 使 用 解 谜 算法 来 构建 一 个 共识 机 制 算法 ， 不 可 能 假设 一 个 中 心 化 的 机 构 来 管 
理 所 有 的 解放 ， 这 样 我 们 就 需要 所 有 解 谜 的 最 后 一 个 特征 : 通过 算法 自动 生成 。 


哪 种 志愿 者 运算 项 目 可 能 适合 解 迹 算法 


回 到 表 8. 1， 我 们 可 以 清楚 地 看 到 ， 像 SETI@ home 和 Folding@ home 这 样 的 项 
目 不 太 适 合 去 中 心 化 的 共识 机 制 协议 ， 两 者 都 被 证 明了 缺乏 我 们 所 列 出 的 上 述 三 
个 特性 。distributed. net 上 的 暴力 破解 密码 学 项 目 可 能 适用 ， 虽然 它们 通常 被 某 些 
公司 用 来 做 某 种 加 密 算 法 的 安全 评估 ， 但 是 不 能 通过 算法 自动 生成 。 我 们 可 以 通 
过 算法 目 动 生成 被 骏 力 破解 的 加 密 方 法 ， 但 是 某 种 程度 上 这 就 是 SHA - 256 不 完全 
原 像 (partial preimage) 算法 已 经 做 过 的 事 ， 并 且 它 没有 任何 有 益 的 功能 。 

那 就 只 剩 下 互联 网 梅森 质数 大 搜索 (Great Internet Mersenne Prime Search ， 
税 称 CIMPS) 项 目 了 上， 这 个 最 具备 可 用 性 。 这 个 办 法 的 挑战 是 通过 算法 自动 生 
成 〈 找 到 下 一 个 比 当 前 最 大 质数 更 大 的 质数 ) ， 以 及 谜底 空间 是 不 可 穷尽 的 。 事 
实 上 ， 质 数 的 寻找 确实 是 无 穷 的 ， 因 为 质数 的 个 数 已 经 被 证 明 是 无 限 个 的 ( 特 
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别 是 梅森 质数 是 无 限量 的 ) 。 

梅森 质数 方法 的 唯一 缺点 ， 是 需要 人 花 宽 很 长 的 时 间 来 寻找 梅 条 质数 ， 并 且 
梅森 质数 非常 军 见 ， 事实 上 在 过 去 18 年 里 ， 梅 森 质 数 大 搜索 项 目 一 共 才 发 现 了 
14 个 梅森 质数 ， 显 然 在 区 块 链 上 每 年 才 增 加 不 足 一 个 区 块 是 不 可 行 的 。 这 个 间 
题 看 起 来 是 缺乏 可 调 市 的 难度 特性 ， 我 们 在 8. 1 市 讨论 过 这 个 特性 是 非常 天 键 
的 。 无 论 如 何 ， 类 似 于 寻找 质数 这 样 的 解 谜 算法 ， 看 起 来 是 可 行 的 。 


质数 币 

到 2015 年 为 止 ， 唯 一 在 实际 中 被 应 用 的 被 证 明 具 有 有 效 工 作 的 系统 是 质数 币 
(Primecoin ) 。 质 数 币 的 主要 挑战 是 为 质数 找到 一 个 “ 坎 宁 安 链 ” (Cunningham 
chain)。 坎 宁 安 链 是 指 上 个 质数 的 序列 P|，P,，…，P,， 以 使 得 P, =2 P,_ ,+1。 
也 就 是 说 ， 你 选 一 个 质数 ， 然 后 把 这 个 质数 乘 以 2 青 加 1 以 得 到 下 一 个 质数 ， 
直到 你 得 到 一 个 和 数 ( 非 质数 )。 含 有 2, 5, 11, 23, 47 就 是 一 个 长 度 为 5 的 坎 
宁 安 链 ， 按 照 这 个 规则 所 获得 的 第 六 个 数字 95 并 不 是 质数 (95 =5 x 19) 。 最 长 
的 已 知 的 坎 宁 安 链 的 长 度 是 19 (从 79，910，197，721，667，870，187，016 ， 
101 开始 ) ， 有 一 个 被 推测 以 及 被 广泛 认可 但 没有 被 证 明 过 的 理论 认为 ， 存 在 一 
条 任意 的 长 度 为 k 的 坎 宁 安 链 

现在 ， 要 把 这 个 理论 变 成 一 个 可 计算 的 解 这 算法 ,我们 需要 三 个 关键 的 参 
数 m、n 和 k， 稍 后 我 们 会 具体 解释 。 对 于 给 定 的 一 个 解 迹 挑战 x (上 一 个 区 块 
的 哈 和 硕果 数值 ) ， 我 们 选择 x 上 的 前 m 位 数 。 我 们 可 以 认为 任何 长 度 为 k 的 链 或 
痢 大 于 k 的 答案 是 正确 的 ， 这 条 链 上 的 第 一 个 质数 是 一 个 na 位 质数 并 且 和 x 一 
样 有 m 位 的 首 段 数据 (n 三 m)， 值得 注意 的 是 ， 我 们 可 以 调整 n 和 k 的 值 , 来 
让 这 个 解 迷 变 得 更 加 困难 。 增 加 kk 的 值 (需要 的 链 的 长 度 ) 使 得 问题 难度 指数 
型 增长 ， 而 增加 n 的 值 ( 链 上 的 第 一 个 质数 的 长 度 ) 使 得 问题 难度 线性 增长 ， 
这 束 可 以 让 我 们 对 问题 难度 进行 微调 。 其 中 ，m 的 值 只 需要 足够 大 ， 使 得 在 知 
道 前 一 个 区 块 的 值 之 前 的 预先 计算 方法 变 得 没有 意义 。 

其 他 我 们 所 讨论 的 属性 看 起 来 已 经 都 有 了 : 结果 可 以 很 快 被 校 验 ， 问题 本 
号 是 无 关 过 程 的 ， 题库 可 以 无 限 大 (假设 对 质数 分 布 的 知名 数学 推导 是 正确 
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的 ) ， 然 后 解 谜 可 以 通过 算法 做 到 自动 生成 。 实 际 上 ， 这 个 解 恋 算 法 已 经 被 质数 
币 用 了 两 年 ， 并 且 对 许多 给 定 的 k 值 产 生 了 欣 宁 安 链 里 最 大 的 质数 。 质 数 币 还 
做 了 进一步 的 扩展 ， 在 其 工作 量 证 明 中 涵盖 了 其 他 类 似 的 质数 链 ， 包 括 “ 第 二 ” 
坎 宁 安 链 ， 其 中 P=2 了 Pl1。 

这 验证 了 在 某 些 限定 的 情况 下 ， 有 效 工 作 量 证 明 是 具有 实际 运用 的 。 当 然 ， 
寻找 大 的 坎 宁 安 链 有 用 与 否 ， 是 有 和 争议 的 。 坎 宁 安 链 当 然 也 代表 了 我 们 已 知 数 
学 知识 宝库 的 一 小 部 分 ， 其 在 未 来 可 能 会 有 一 些 应 用 场景 ,但 在 目前 还 没有 实 
际 的 应 用 出 现 。 


永久 币 和 人 存储 量 证 明 

另外 一 种 有 效 工 作 量 证 明 叫 存储 量 证 明 (proof of storage) ， 也 被 称 为 可 恢复 
性 证 明 ( proof of retrievabitlity ) 。 不 同 于 需要 一 个 单独 计算 的 解 迷 算法 ， 我 们 可 
以 设计 一 个 需要 存储 大 量 数据 被 运算 的 解 迷 算法 ， 如 果 这 个 数据 是 有 用 的 ， 屠 
么 矿工 在 控 矿 硬件 设备 上 的 投资 就 可 以 被 用 于 大 范围 分 布 式 存储 和 归档 系统 。 

让 我 们 看 一 下 永久 币 ( Permacoin) ， 这 是 第 一 个 用 于 共识 机 制 的 存储 量 证 明 
方案 。 首 先 我 们 讨论 一 个 大 文件 F， 我 们 假设 所 有 人 都 认可 下 的 价值 并 且 这 个 文 
件 不 会 被 改变 。 例 如 ， 当 一 个 加 密 数 字 货 币 上 线 时 ， 由 一 个 可 信任 的 分 发 者 选 
择 下， 这 有 点 类 似 于 任何 一 个 加 密 数 字 货 币 局 动 时 都 需要 一 个 创 世 区 块 ， 理 想 状 
况 下 这 个 文件 会 具备 公共 价值 。 例如， 大 型 强 子 碰撞 (Large Hadron Collider， 
何 称 LHC) 的 实验 数据 ， 这 个 数据 已 经 达到 了 几 百 拍 字 节 (petabytes， 用 PB 表 
示 ) 的 大 小 ， 对 这 些 数 据 的 备份 是 很 有 价值 的 ， 

当然 ， 因 为 F 存储 量 非常 巨大 ， 大 多 数 参 与 者 都 无 法 对 整个 文件 进行 存储 ， 
但 我 们 已 经 知道 ， 在 不 需要 了 解 整个 文件 的 情况 下 ， 如 何 使 用 密码 学 里 的 哈 希 
中 数 来 确保 每 个 人 都 对 下 认可 。 最 简单 的 方法 是 ,每 个 人 都 认可 H (F), 但 更 
好 的 方法 是 用 一 个 大 型 梅 克 尔 树 来 代表 下 ， 所 有 的 参与 者 都 认可 梅 克 尔 树 的 根 
但 。 现 在 ， 每 个 人 都 认可 下 的 价值 ， 证 明 下 的 任意 一 部 分 是 正确 的 就 变 得 很 有 
效率 。 

在 永久 币 系 统 中 ， 每 一 个 矿工 M 存储 着 任意 F 文件 的 子 集 Fw CF。 为 了 实 
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现 这 一 点 ， 当 矿工 产生 一 个 公 钥 K, 来 接受 资金 时 候 ， 他 们 就 对 该 公 钥 进行 哈 而 
运算 以 生成 一 个 区 块 Fy 的 虚拟 随机 数 集 ， 他 们 必须 存储 这 个 数 集 以 实现 控 矿 的 
目的 。 这 个 子 集 就 会 变 成 某 个 固定 数量 的 区 块 本 的 一 部 分 ， 我 们 必须 在 这 里 做 

一 个 假设 ， 当 矿工 开始 控 矿 的 时 候 ， 他 们 有 办 法 获得 这 些 区 可 能 是 
个 标准 文件 源 地 址 下 载 下 来 〈 见 图 8. 2) 。 




















De 中 的 区 块 
， | F Ew 厅 J 区 . 块 下 的 根 
,中 的 区 块 
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i i ei 让 CE i 
i 3 Et | < I | 


图 8.2 在 永久 币 系统 中 选择 一 个 文件 的 随机 区 块 
注 : 在 这 个 案例 中 ，k =6，kz =2。 在 实际 应 用 中 ， 这 些 参数 会 大 很 多 。 





EN ee AT 





一 旦 矿工 在 本 地 存储 了 Fw ， 这 个 解 迷 算法 就 非常 类 似 于 传统 的 SHA - 256 
挖 矿 了 。 给 定 前 一 个 区 块 的 哈 希 值 x 时， 旷工 选择 一 个 临时 随机 数 mn， 将 其 进行 
险 希 运算 并 产生 一 个 虚拟 随机 数 子 集 Fw, CFw， 这 个 子 集 包 含 了 k, <k 个 区 块 。 
值得 注意 的 是 ， 这 个 子 集 是 由 所 选 的 临时 随机 数 和 矿工 的 公 钥 共同 产生 的 。 
后 ,矿工 对 n 以 及 FF 中 的 区 块 ， 进 行 SHA -256 的 哈 希 陆 数 运算 ， wp 
结果 是 低 于 目标 难度 的 ， 那 么 也 就 意味 着 他 们 找到 了 一 个 有 效 的 方案 。 

校 验 一 个 解 六 算法 的 结果 震 要 以 下 几 个 步骤 : 


e。 校 验 Fy, 是 由 矿工 的 公 和 钥 Ky 和 临时 随机 数 n 共同 产生 的 。 

. 通过 检验 其 在 梅 克 尔 机 点 到 全 局 统一 的 树 根 路 径 ， 来 检验 Fy ,中 的 每 
一 个 区 块 是 正确 的 。 

e 校 验 日 (Fw, n) 的 值 比 目 标 难度 要 小 。 


我 们 很 容易 看 出 ， 为 什么 解 谜 过 程 需 要 矿工 在 本 地 存储 所 有 的 F,,。 对 于 
每 一 个 临时 随机 数 ， 矿 工 都 需要 计算 Fw ,中 随机 子 集 的 哈 希 值 ， 如 果 通 过 远程 
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访问 一 个 存储 空间 来 获取 文件 ， 就 会 非常 慢 ， 几 乎 不 可 能 实行 。 

不 同 于 Serypt 算法 的 案例 ， 如 果 k 足够 大 ， 并 没有 一 种 可 行 的 类 似 于 时 间 
内 存 的 权衡 方案 。 如 果 矿 工 仅仅 在 本 地 存储 了 一 半 的 Fw， 并 且 ks =20， 那么 在 
他 们 找到 一 个 不 需要 从 网 络 中 取 回 任何 文件 区 块 的 临时 随机 数 之 前 ， 他们 必须 
要 尝试 100 万 次 ， 降 低 一 定量 的 存储 负担 会 以 计算 量 指 数 型 增长 为 代价 。 当 然 ， 
由 于 kk 梅 克 尔 树 路 径 要 在 所 有 的 路 径 中 被 传输 和 校 验 ， 如 果 kk 设 得 太 大 ， 也 会 
使 运算 变 得 非常 低 效 。 

ki 的 设 定 也 可 以 有 所 权衡 。 更 小 的 k, 意味 着 矿工 需要 更 少 的 本 地 存储 空 
间 ， 因 此 这 种 控 矿 就 更 加 民主 化 〈 更 多 的 人 可 以 参与 ) 。 然 而 ， 这 也 意味 着 ， 大 
量 的 矿工 即使 有 能 力 提 供 更 大 的 存储 空间 ， 他 们 也 没有 动力 去 存储 多 于 ki 个 下 
区 块 。 

同样 ， 这 是 一 个 对 完整 的 永久 币 做 了 细微 简化 的 方案 ,但 是 对 我 们 理解 整 
个 设计 的 关键 部 分 来 说 是 足够 的 了 。 最 大 的 应 用 挑战 ， 当 然 是 找到 一 个 合适 的 
大 文件 ， 这 个 文件 要 有 一 定 的 重要 意义 ,同时 也 是 公共 的 ,需要 保存 多 个 备份 . 
如 果 下 文件 本 身 随 着 时 间 的 推移 会 发 生变 化 ， 或 者 随 着 时 间 的 变化 而 调整 难度 ， 
这 样 会 使 方案 变 得 更 加 复杂 。 


长 期 的 挑战 和 经 济 意义 

总 结 一 下 本 节 内 容 ， 有 效 工 作 量 证 明 是 一 个 非常 自然 的 目标 。 考 虑 到 一 个 
好 的 共识 机 制 所 需要 的 其 他 解 迷 算法 ,实行 起 来 也 有 相当 大 的 挑战 。 即 使 如 此 ， 
至 少 本 文 所 举 的 两 个 案例 一 一 质数 币 和 永久 币 一 一 在 技术 上 是 可 行 的 ， 虽然 它 
们 也 都 有 一 些 技术 方面 的 缺陷 (主要 都 是 需要 更 长 的 时 间 去 验证 解 谜 结果 )。 此 
外 ， 对 比 在 比特 币 控 矿 中 动 辐 数 百 万 美元 的 投入 以 及 大 量 电力 的 消耗 ， 这 两 种 
加 密 数 字 货 币 的 应 用 都 对 社会 公益 有 一 些 贡献 。 

有 效 工 作 量 证 明 是 否 应 该 是 纯 公 益 的 ， 有 一 个 有 趣 的 经 济 学 方面 的 争议 。 
在 经 济 学 中 ,公益 的 意思 是 非 排 他 性 的 ， 也 就 是 说 所 有 人 都 可 以 参与 使 用 ， 并 
旦 是 非 苑 争 性 的 ， 对 公益 的 其 他 用 途 不 应 该 影响 其 本 身 的 价值 。 一 个 经 典 的 例 
子 就 是 灯塔 。 
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我 们 这 里 所 讨论 的 案例 ， 比 如 蛋白质 折 释 (protein folding ) 了 +， 就 不 是 一 个 
纯 公 益 的 项 目 ， 因 为 有 一 些 公 司 (比如 大 的 制药 公司 ) 可 以 从 中 获 利 。 实 质 上 ， 
此 机 构 控 矿 的 成 本 会 相对 变 低 ， 因 为 它们 可 以 获取 其 他 人 无 法 获得 的 额外 


利益 


8.4 不 能 外 包 的 解 迷 算法 


我 们 现在 再 看 一 下 对 于 蔡 代 控 矿 解 谜 的 另 一 个 设计 重点 : 防止 矿 池 的 产生 ， 
我 们 在 先前 的 第 5 章 里 谈 到 ， 大 部 分 的 比特 币 矿 工 都 会 加 入 一 个 矿 池 ， 而 不 是 
独立 挖 矿 。 这 就 造成 了 少量 矿 池 拥 有 绝 大 部 分 挖 矿 算 力 的 现象 。 由 于 每 个 矿 池 
i + 理 方 ， 有 些 人 担心 这 其 实 违反 了 比特 币 去 中 心 化 的 核心 设 
计 原 则 ， 会 危害 到 比特 币 的 安全 性 : 

人 
会 实施 一 套 自 定义 的 控 矿 策略 ， 然 后 用 它 来 攻击 网 络 。 这 种 矿 池 也 是 黑客 们 攻 
击 的 目标 ， 因 为 通过 攻击 矿 池 可 以 迅速 地 控制 大 量 的 挖 矿 算 力 。 矿 池 管 理 员 也 
可 能 会 删改 交易 或 是 强人 迫 收 取 更 高 的 交易 费 。 矿 池 中 拥有 大 多 数 矿 工 ， 意 味 着 
大 部 分 矿工 都 没有 运行 一 个 完全 有 效 节 点 。 

有 意思 的 是 ， 这些 担忧 有 着 现实 世界 的 影子 ， 比 如 选票 。 在 美国 和 其 他 许 
多 国家 ， 出 售 选 票 是 非法 的 。 帮 大 一 不 难关 可 抽 的 他 汪 ， 洒 在 雍 村 市 而 
协议 里 出 售 你 的 选票 有 点 类 似 。 


矿 池 的 技术 要 求 


回忆 起 来 ， 矿 池 看 起 来 是 一 个 突然 发 生 的 现象 。 并 没有 证 据 显 示 ， 中 本 聪 
在 比特 币 的 最 初 设计 中 考虑 过 矿 池 的 概念 。 在 互相 不 信任 的 个 体 之 间 运 行 一 个 


1 和 集 日 奈 折 登 问题 被 列 为 “21 世纪 的 生物 物理 学 ”的 重要 课题 ， 它 是 分 子 生 物 学 中 心 法 则 尚未 解决 
的 一 个 重大 生物 学 问题 。 一 一 译 者 注 
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有 效率 的 矿 池 ， 这 样 的 事情 在 最 初 的 几 年 里 看 起 来 不 太 现实 。 

正如 我 们 在 第 5 章 所 看 到 的 ， 矿 池 通 常会 指定 一 个 管理 员 ， 他 有 一 个 大 家 
都 知道 的 公 钥 。 每 一 个 加 入 的 矿工 还 是 按照 往常 一 样 进行 挖 矿 ， 然 后 递交 “ 近 
似 ” 或 者 “部 分 ”答案 给 矿 池 管理 员 ， 这 些 答 案 在 低级 别 难度 的 时 候 可 能 就 是 
一 个 有 效 答案 ， 通 过 这 种 做 法 来 证 明 他 们 做 了 多 少 工作 量 。 当 矿 池 中 的 茶 一 个 
参与 者 找到 了 一 个 有 效 区 块 的 时 候 ， 这 个 管理 员 会 按照 每 个 人 所 提交 的 工作 量 
的 占 比 来 分 配 奖 励 。 虽 然 有 很 多 种 不 同 的 分 配方 式 ， 但 是 所 有 和 矿 池 都 遵循 这 个 
基本 模式 。 

正 因 为 如 此 ， 矿 池 的 存在 依赖 于 比特 币 的 两 大 技术 特征 。 第 一 ， 一 个 矿工 
很 容易 通过 提交 工分 来 证 明 (概率 上 ) 他 所 做 的 工作 量 。 不 管 实 际 上 找到 一 个 
有 效 区 块 是 多 么 困难 ， 通 过 设 定 一 个 足够 低 的 合格 工分 的 临界 但 ， 矿 工 可 以 容 
易 地 证 明 他 们 在 任意 精度 的 工作 量 。 考 虑 到 我 们 需要 解 这 题目 可 以 在 任意 难度 
上 被 创造 出 来 ， 这 个 问题 看 起 来 很 难 改变 。 

第 二 ， 矿 池 成 员 可 以 容易 地 回 管 理 员 证 明 ， 他 们 遵守 规则 并 且 通 过 实际 运 
算 来 寻找 有 效 区 块 ， 然 后 矿 池 会 作为 一 个 整体 接受 奖励 。 这 是 行 得 通 的 ， 因 为 
这 个 夏 池 的 公 钥 是 被 写 进 币 基 交易 ， 并 包括 在 区 块 里 的 梅 克 尔 树 上 。 即 使 一 个 
矿工 找到 了 一 个 有 效 区 块 ， 其 至 只 是 一 个 近似 区 块 〈 也 叫 工分 ) ， 他 也 无 法 改变 
整个 矿 池 的 公 钥 ， 而 成 为 新 铸币 的 接受 者 。 


“区 块 丢弃 ”攻击 ( block-discarding attack ) 

矿 池 的 这 种 设计 有 一 个 昼 点 : 没有 办 法 来 确保 矿工 在 找到 有 效 区 块 的 时 候 
一 定 会 提交 给 管理 员 。 假 设 有 一 个 矿 池 成 员 对 一 个 大 型 矿 池 不 满 ， 他 可 以 正常 
地 参与 挖 矿 然后 提交 工分 ,但 他 在 找到 一 个 有 效 区 块 (可 以 让 整个 矿 池 获得 奖 
励 ) 的 时 候 ， 并 没有 告诉 管理 员 而 是 直接 把 它 丢弃 掉 。 

这 个 攻击 降低 了 整个 矿 池 的 挖 矿 能 力 ， 因 为 攻击 者 的 工作 量 并 没有 实际 贡 
献 到 挖 矿 中 去 。 但 是 这 个 矿工 依然 会 收 到 奖励 ， 因 为 他 看 起 来 也 在 不 断 地 提交 
[分 ， 只 是 运气 不 好 没有 找到 有 效 的 区 块 。 如 果 这 个 矿 池 的 奖励 设计 方案 是 收 
入 中 性 的 《也 就 是 所 有 的 控 矿 奖励 都 被 分 发 到 每 个 参与 者 ) ， 那 样 的 话 这 个 攻击 
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会 让 这 个 矿 池 元 损 。 

这 种 攻击 被 称 作 民 间 攻 击 或 者 是 蓄意 破坏 攻击 ， 这 也 被 认为 是 一 种 昔 章 破 
坏 ， 因 为 这 个 攻击 看 上 去 对 攻击 者 和 矿 池 都 是 不 经 济 的 、 代 价 不 菲 的 。 这 个 攻 
击 者 本 身 也 会 遭受 损失 ， 因 为 他 所 丢弃 的 有 效 区 块 将 会 使 他 放弃 他 应 该 有 的 一 
部 分 奖励 回报 。 当 然 ， 这 个 攻击 者 还 是 会 由 于 其 他 一 些 挖 矿 解 密 算法 而 获 利 。 

看 起 来 一 个 理性 的 矿工 不 会 采用 这 种 策略 ， 因 为 他 会 有 所 损失 而 不 会 得 到 
任何 实际 的 回报 。 但 ( 令 人 惊讶 的 是 ) 在 某 些 情况 下 ， 这 个 策略 是 可 以 有 利 可 
图 的 ,我们 在 下 文 有 所 讨论 。 但 是 无 论 如 何 ， 我们 想 要 设计 一 个 全 新 的 挖 矿 解 
迹 算 法 ， 以 确保 这 种 策略 永远 都 是 有 利 可 图 的 (以 抵抗 矿 池 的 存在 )。 





和 矿 池 之 间 的 区 块 丢 弃 攻击 


好 多 年 以 来 ， 人 们 都 觉得 进行 区 块 丢弃 攻击 是 无 利 可 图 的 ， 实 际 上 如 果 
两 个 矿 池 之 间 的 互相 攻击 却 不 一 样 。 这 种 方案 已 经 被 提出 来 好 多 次 ， 伊 泰 。 
艾 瑞 尔 (lttay Eyal) 2015 年 的 论文 中 首次 深入 分 析 了 这 种 攻击 模式 。 

我 们 考虑 一 个 简单 的 案例 : 假设 两 个 矿 池 A 和 B， 每 个 有 50% 的 全 部 控 
矿 算 力 。 现 在 假设 B 动用 了 一 半 的 能 力 (25% 的 总 体 算 力 ) 来 加 入 矿 池 A 控 
矿 ， 然 后 把 所 有 找到 的 有 效 区 块 丢 弃 掉 。 我 们 可 以 推演 ， 在 一 个 简单 的 模型 
里 ，B 会 赢得 5/9 的 所 有 奖励 ， 大 于 他 正常 挖 矿 时 候 所 获得 的 50% 的 奖励 。 
在 这 个 简单 的 案例 里 ， 动 用 一 半 的 挖 矿 算 力 去 攻击 矿 池 A 对 矿 池 B 来 说 是 一 
个 最 佳 的 策略 。 

这 个 案例 随 着 矿 池 数量 的 增加 而 变 得 更 加 复杂 。 截 至 本 书 撰写 之 时 ， 丢 
弃 区 块 攻击 在 实际 中 还 没有 被 大 范围 观察 到 。 但 长 期 来 看 可 能 性 还 是 存在 的 ， 
像 这 类 攻击 会 对 大 型 矿 池 的 运营 产生 关键 影响 。 


奖励 破坏 
我 们 设计 这 种 攻击 的 目的 ， 是 让 矿工 们 即使 加 入 了 一 个 矿 池 挖 矿 ， 也 会 缺 


ww ai bbt.com DODODDDDOD 





区 块 链 : 技术 驱动 金融 


乏 向 矿 池 管理 员 提交 有 效 区 块 的 动力 。 目 前 ， 只 有 矿 池 管理 员 可 以 获取 挖 矿 燃 
励 ， 因 为 管理 员 要 求 所 有 的 参与 者 在 他 们 挖 矿 的 币 基 交易 中 加 入 一 把 特殊 的 公 
钥 。 这 个 公 钥 是 否 被 正确 地 放 入 ， 可 以 在 提交 近似 区 块 的 时 候 被 很 容易 地 检查 
验证 。 矿 池 管 理 员 是 唯一 知道 私 钥 的 人 ， 因 此 可 以 决定 新 铸币 的 走向 。 

但 如 果 我 们 要 求 所 有 的 参与 者 都 知道 私 钥 (这 样 一 来 ， 当 找到 有 效 区 块 的 
时 候 大 家 都 可 以 重新 定义 区 块 奖 励 的 去 问 ) 呢 ? 为 了 做 到 这 一 点 ， 我 们 需要 一 
个 解 亦 算法 ， 每 一 个 解 迷 运算 的 和 党 试 都 要 求知 道 币 基 交 易 里 的 私 钥 。 我 们 可 以 
把 解 迷 从 “找到 一 个 区 块 ， 其 哈 硕 值 低 于 一 个 特定 的 目标 ” 改 成 “找到 一 个 区 
块 ， 这 个 区 块 里 的 数字 签名 的 哈 硕 值 低 于 一 个 特定 的 目标 "。 这 个 数字 签名 必须 
要 用 币 基 交易 里 同一 把 公 钥 来 计算 

这 样 的 解 访 算法 ， 会 给 矿 池 管理 员 两 个 都 不 可 靠 的 选择 : 他 们 可 以 把 私 钥 
分 发 给 所 有 成 员 ， 如 此 ， 他 们 之 中 任何 一 人 都 可 以 私自 挪用 全 部 矿 池 资金 。 男 
外 一 个 办 法 是 他 们 可 以 代表 矿 池 成 员 进 行 签名 。 计 算 一 个 签名 的 计算 量 比 计算 
一 个 哈 布 师 数 要 大 许多 ， 这 样 一 来 ， 矿 池 管 理 员 会 承担 主要 的 藻 活 与 累 活 ， 所 
以 最 好 让 矿 池 管理 员 成 为 一 个 独立 的 矿工 。 


不 能 被 外 包 的 挖 矿 的 优 务 

由 于 这 类 解 迹 算 法 不 能 够 有 效 地 (并 不 是 完全 不 可 能 ) 被 外 包 到 一 个 不 能 
被 信任 的 参与 者 ， 这 就 使 得 成 立 一 个 由 不 被 信任 的 参与 者 所 组 成 的 矿 池 变 得 十 
分 困难 。 它 可 以 有 效 地 阻止 所 有 的 矿 池 形 成 ， 即 便 是 像 PPPool 这 样 成 立 一 个 没 
有 人 矿 池 种 理 员 的 去 中 心 化 矿 池 . 

存在 如 下 争议 ， 部 署 这 类 解 迷 算法 可 能 会 不 可 抑制 地 造成 更 多 的 中 心 化 ， 
而 不 是 更 少 。 因 为 概率 上 较 高 幅度 波动 (找到 有 效 区 块 而 获得 奖励 的 概率 问题 ) 
会 让 小 矿工 们 不 敢 参 与 挖 矿 ， 剩 下 的 只 会 是 大 型 控 矿 团队 。 目 前 ， 虽 然 矿 池 表 
面 上 控制 了 大 量 的 挖 矿 算 力 ， 但 还 是 不 清楚 如 果 他 们 想 利 用 这 个 优势 来 发 起 攻 
击 的 话 ， 其 中 许多 成 员 是 否 会 叛逃 。 大 型 控 矿 矿 池 和 可 以 承受 高 幅度 收入 波动 
的 小 矿 池 ， 到 底 哪 个 风险 更 大 ? 这 是 一 个 未 能 解决 的 问题 。 

设计 一 个 共识 协议 ,理想 方案 是 小 额度 地 奖励 每 个 找到 低 等 难度 解 谜 答案 
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的 矿工 ， 以 “自然 地 ”降低 概率 波动 风险 。 这 就 意味 看 矿工 们 不 需要 组 成 矿 池 ， 
同时 小 矿工 们 还 可 以 参与 控 矿 获 利 。 仅 仅 降 低 每 个 区 块 产生 之 间 的 时 间 间 陨 不 
会 起 到 作用 一 一 它 需 要 被 降低 1 000 信 或 者 更 多 ， 才 能 够 在 概率 风险 上 与 大 型 挖 
矿 矿 池 所 面临 的 情况 相当 。 但 到 那个 时 候 ， 每 个 区 块 之 加 的 间 阳 只 有 不 到 一 秒 ， 
陈旧 区 块 的 数量 会 变 得 不 可 控制 的 高 。 还 有 一 个 问题 ， 是否 存 在 另 一 种 共识 协 
议 ， 可 以 做 到 在 不 需要 瞬时 广播 所 有 人 解 谜 结果 的 情况 下 ， 让 解 谍 运算 变 得 更 加 
容易 ? 





8.5 权益 证 明和 虚拟 挖 矿 


在 结束 本 草 之 前 ， 我 们 讨论 一 下 这 个 想法 : 用 虚拟 挖 矿 (virtual mining) 来 
符 代 计算 力 控 矿 。 虚 拟 控 夏 是 指 一 组 不 同 的 控 矿 方法 但 它们 都 有 一 个 共同 的 特 
对 参与 的 矿工 只 要 求 少量 的 计算 资源 。 


Es 
AAA 





建立 一 个 封闭 挖 矿 系统 

作为 一 个 思想 实验 ,假设 比特 币 或 是 其 他 加 密 数字 货币 成 为 全 球 主要 支付 
手段 。 矿 工 起 初 会 拥有 一 些 加 密 数字 货币 来 购买 挖 矿 设备 和 支付 电 耗 ， 以 此 获 
取 一 些 新 币 来 作为 挖 矿 的 奖励 ( 见 图 8. 3 ) 。 这 基本 上 是 个 消耗 资源 的 过 程 。 


挖 矿 奖 励 支付 








Ox000... -3 





ez 


比特 币 网 络 。 。 解 迹 方 案 i 能 量 、 设 备 。 ”物质 世界 
图 8.3 ”比特 币 控 矿 的 资源 循环 


一 旦 挖 矿 设 备 变 成 了 一 种 商品 ， 并 且 电 力也 是 一 种 商品 ( 本 来 就 是 ) ， 没 有 
在 工 有 任何 优势 可 以 更 有 效 地 把 他 们 起 初 拥有 的 加 密 数 字 货币 转化 成 挖 矿 奖励 。 
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除非 有 细微 的 效能 差距 ， 控 矿 投入 最 多 的 矿工 将 会 获得 最 大 的 控 矿 奖励 。 
推动 虚拟 控 矿 的 基本 问题 是 : 如 果 我 们 把 挖 矿 设备 和 能 耗 这 一 环 市 省 去 ， 
会 产生 什么 结果 ? 毕竟 ， 这 个 过 程 主 要 是 用 来 证 明 谁 在 控 矿 这 件 事情 上 投入 最 
多 。 为 什么 不 简单 地 把 挖 矿 “ 算 力 ” 按 比例 分 配给 当前 所 有 的 持 币 人 ? 
回忆 一 下 比特 币 挖 矿 的 初 囊 是 在 区 块 链 上 建立 起 一 个 投票 机 制 ， 有 更 多 算 
力 的 矿工 会 得 到 更 多 的 投票 权力 。 因 此 ， 我们 可 以 设计 一 个 “投票 ”系统 ， 选 
票 (投票 权力 ) 是 由 每 个 人 所 拥有 的 当前 币 量 所 决定 的 。 


虚拟 挖 矿 的 优势 
这 个 方法 的 优势 是 显而易见 的 : 它 把 如 图 8.3 中 右边 浪费 资源 的 一 半 去 掉 
了 ， 留 下 了 一 个 封闭 的 系统 ， 如 图 8.4 所 示 。 


挖 矿 奖 励 





| eg 
| " 

| a | 
一 一- 


比特 币 网 络 虚拟 挖 矿 挖 矿 机 
图 8.4 虚拟 挖 矿 的 资源 循环 


除了 简单 化 之 外 ， 这 个 方法 会 大 大 减少 比特 币 对 环境 的 影响 。 它 不 会 把 能 
耗 降 到 零 ， 因 为 矿工 总 是 会 消耗 一 些 计算 资 源 来 和 网 络 通信 和 验证， 有 一 些 虚 拟 
挖 矿 方案 也 要 求 少 量 的 挖 矿 计 算 力 。 但 总 体 上 ， 比 特 币 里 绝 大 部 分 的 挖 矿 工作 
量 可 以 被 省 去 。 

虚拟 控 矿 还 可 以 阻止 中 心 化 的 发 展 趋势 。 因 为 没有 硬件 ， 所 以 也 不 必 担 忧 
有 ASIC 的 问题 。 每 一 个 矿工 挖 矿 的 效率 都 和 其 他 人 完全 一 样 。 任 何 虚拟 矿 机 所 
用 的 解 迷 算法 都 是 反 ASIC 的 。 

这 可 能 是 虚拟 挖 矿 最 重要 的 一 点 。 虚 拟 挖 矿 可 能 解决 了 我 们 在 讨论 反 ASIC 
解 谜 算法 时 候 所 遇 到 的 问题 ， 也 就 是 考虑 到 货币 的 长 期 健康 ， 矿 工 可 能 不 会 去 
投资 挖 矿 设备 的 生产 。 任 何 一 个 比特 币 的 持 有 人 其 实 也 是 这 个 货币 的 利益 相关 
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者 ， 一 个 强大 的 虚拟 矿工 (比如 持 有 51% 或 更 多 的 币 ) 是 一 个 非常 大 的 利益 相 
关 者 。 他 们 有 原动力 来 做 对 整个 系统 有 利 的 事 ， 因 为 这 样 一 来 他 们 所 持 有 的 币 
也 会 增值 。 这 比 “ 和 矿工 已 经 投入 了 大 量 的 挖 矿 设备 ， 且 设备 价值 会 基于 未 来 的 
币值 ， 所 以 没有 人 会 进行 恶意 行为 ”的 说 法 更 有 力 。 

这 就 是 “权益 证 明 ” 这 个 名 字 的 来 源 。 除 了 市 省 挖 矿 设 备 和 广 省 能 源 之 外 ， 
可 能 虚拟 挖 矿 的 最 大 动力 ， 来 日 这 个 贫 币 的 利益 相关 者 有 奢 强 烈 的 意愿 成 为 这 
个 系统 的 维护 者 。 


实施 虚拟 挖 矿 : 点 点 币 

有 许多 种 不 同 的 虚拟 控 矿 ， 我 们 在 这 里 只 讨论 最 稼 见 的 几 种 。 我 们 要 强调 
的 是 ， 这 些 想法 还 没有 被 严格 地 用 科学 的 方法 研究 过 ， 也 没有 像 比特 币 的 工作 
量 证 明 一 样 因为 比特 币 的 普遍 性 而 经 过 实战 洗礼 。 


的 另类 币 。 点 点 有 币 是 工作 量 证 明 与 权益 证 明 的 一 种 混合 体 ,“ 拥 有 量 ” 以 “ 币 
龄 ”为 计价 单位 。 一 个 特定 的 还 没有 被 使 用 交易 的 输出 的 币 龄 ,是 “这 个 输出 
里 的 币 量 ” 与 “这 个 输出 里 还 没有 被 使 用 过 的 区 块 数量 ”的 乘积 。 现 在 , 为 了 


挖 到 一 个 区 块 ， 点 点 币 的 矿工 也 必须 像 比特 币 的 矿工 一 样 去 进行 一 个 SHA -256 
的 解 谜 运算 。 但 是 ， 这 个 解 谜 运算 的 难度 会 随 着 他 们 想 消耗 多 少 币 龄 调整 ， 消 
耗 越 少 难度 就 越 低 。 为 了 做 到 这 一 点 ， 这 个 区 块 包括 一 个 特殊 的 “ 币 拥有 量 交 


匈 ”(〈coinstake transaction ) ， 在 这 个 交易 里 ， 有 些 交 易 被 用 掉 只 是 为 了 把 它们 的 
币 龄 重 设 成 寺 。 这 些 在 币 拥有 量 交 易 中 被 消耗 的 币 龄 总 和 ， 决 定 了 工作 量 证 明 
解 六 运算 中 发 现 一 个 有 效 区 块 的 难度 。 

人 工 可 以 在 最 初 用 很 大 的 计算 力 和 一 些 很 少 的 拥有 量 来 控 矿 ， 但 是 可 以 用 
公式 来 设 定 难度 : 当 一 些 币 龄 被 消耗 后 ， 找 到 有 效 区 块 会 变 得 十 分 容易 。 这 个 
运算 型 解 迷 的 效果 主要 是 为 了 保证 ， 在 有 两 个 矿工 尝试 消耗 同样 大 小 币 龄 的 情 
形 下 ， 这 个 过 程 仍 然 是 随机 的 ， 

许多 其 他 的 虚拟 挖 矿 男 类 币 方 案 使 用 了 上 略微 不 同 的 设计 ， 包 括 NxT、BitS- 
hares 、BlackCoin 和 Reddcoin。 在 这 些 设计 方案 里 ， 一 定数 量 的 币 被 消耗 用 于 使 
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运算 型 解 这 变 得 极为 简单 ， 这 使 得 解 这 运算 不 再 是 挖 矿 过 程 中 最 主要 的 挑战 。 


权益 的 其 他 形式 
有 两 种 混合 模式 值得 探讨 : 


。 权 益 证 明 。 最 简单 的 权益 证 明 模 式 是 使 那些 拥有 大 量 币 控制 权 的 矿工 控 


矿 更 加 容易 。 这 类 似 于 点 点 币 的 币 量 和 币 龄 混合 证 明 ， 只 是 在 这 个 模式 
中 不 考虑 币 龄 。 这 个 模式 的 劣 处 是 ,不 像 点 点 币 那 样 每 次 成 功 获得 有 效 


区 块 之 后 重 置 币 龄 ， 最 有 钱 的 参与 者 总 是 可 以 最 容易 地 挖 矿 。 

。 储量 证 明 。 在 这 个 模式 里 ， 当 一 个 矿工 用 一 些 货币 来 铸造 一 个 区 块 的 时 
候 ， 这 些 货 币 针 对 一 定数 量 的 区 块 被 冻结 。 这 可 以 被 想象 成 币 龄 的 一 个 
镜像 : 这 个 系统 奖励 那些 希望 在 未 来 一 一 段 时 间 不 消费 的 矿 工 ， 而 不 是 那 
些 在 过 去 一 段 时 间 内 不 使 用 货币 的 矿工 。 在 上 述 两 种 情况 下 ,矿工 的 收 
入 来 自 因为 不 能 使 用 货币 去 做 其 他 事情 的 机 会 成 本 。 


无 利害 关系 问题 

虚拟 控 矿 是 科研 的 前 治 领 域 ， 还 有 许多 未 解 的 问题 。 即 使 有 一 些 加 密 数 字 
货币 已 经 启动 并 且 使 用 了 虚拟 挖 矿 ， 它 们 都 面临 和 比特 币 一 样 的 压力 ， 即 防御 
有 目的 性 We 

虚拟 控 矿 有 一 个 凋 见 的 漏 润 ， 被 称 为 “无 利害 关系 问题 ” (nothing-at-stake 
problem) 或 者 Nite ( stake-grinding attacks ) 。 假 设 一 个 有 者 小 于 
50% 的 币 拥有 量 的 攻击 者 ， 壬 试制 造 一 个 有 卡 个 区 块 的 分 又 ， 如 同 我 们 在 前 面 
讨论 过 的 ， 这 样 的 分 又 攻击 有 着 相当 高 的 失败 概率 。 在 传统 控 矿 里 ， 一 个 失败 
的 攻击 有 着 很 高 的 机 会 成 本 ， 央 为 矿工 本 可 以 在 控 据 的 过 程 中 赚 得 奖励 ， 而 不 
是 浪费 挖掘 资源 在 失败 的 攻击 上 

但 在 虚拟 挖 矿 里 ， 这 个 机 会 成 本 并 不 存在 。 一 个 矿工 可 以 既 在 当前 最 长 的 
区 块 链 上 挖 矿 ， 同 时 又 可 以 进行 一 个 创建 分 又 的 尝试 。 如 果 分 又 成 功 ， 则 会 消 
耗 挥 大 量 的 筹码 ; 如 果 和 失败， 这 个 失败 的 记录 不 会 出 现在 最 长 的 区 块 链 上 。 
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此 ， 理 性 的 矿工 也 会 不 断 地 尝试 分 又 攻击 。 

对 于 这 个 问题 ， 有 一 些 不 同 的 解决 办 法 。 大 多 数 的 虚拟 挖 矿 方案 都 积极 地 
使 用 检查 点 来 防御 长 分 义 攻击 。 但 是 正如 之 前 讨论 过 的 ， 这 有 点 和 去 中 心 化 的 
共识 协议 概念 背道而驰 了 。 


分 又 攻击 和 检查 点 





当 你 下 载 比特 币 核 心 钱 包 软 件 时 ， 有 几 个 硬 编 码 的 检查 点 ， 或 者 过 去 区 
块 的 拼接 。 这 样 做 的 根本 目的 是 让 首次 下 载 区 块 链 更 加 顺利 。 如 果 没 有 检查 
点 ， 其 他 节点 可 以 使 用 伪造 的 (但 有 效 的 ) 区 块 和 分 支 来 冲击 你 。 对 于 当今 
的 攻击 者 来 说 ， 在 低 区 块 高 度 产 生 有 效 的 谜 题解 决 方案 是 非常 简单 的 ， 那 就 
是 接近 起 源 区 块 ， 因 为 初始 阶段 的 难度 相对 较 低 。 你 最 终 会 发 现 这 些 区 块 不 
在 最 长 的 有 效 分 支 上 (更 精确 地 来 说 ， 不 在 最 高 总 体 难 度 的 有 效 分 文 上 )， 但 
你 必须 浪费 资源 来 做 这 件 事情 。 

有 些 男 类 币 ， 特别 是 虚拟 挖 矿 计 划 ， 已 经 采取 了 以 检查 点 作为 防御 分 支 
攻击 的 强大 形态 。 市 上 斥 会 从 指定 检查 广 点 收 到 检查 点 的 常规 更 新 ， 该 更 新 由 
指定 的 私 钥 签发 。 节 点 会 放弃 与 检查 点 冲突 的 分 支 。 这 种 机 制 使 得 检查 点 的 
运作 方 ， 尤 其 是 另类 币 的 创建 者 ， 能 从 分 又 和 “ 转 回 ”区 块 中 选择 胜出 者 。 
这 种 设计 非常 有 趣 ， 但 是 已 不 是 去 中 心 化 一 致 认可 的 协议 。 


以 太 坊 (Ethereum， 一 个 在 2015 年 局 动 的 为 类 币 ， 我 们 将 在 第 10 草 中 详细 
讨论 )， 建 议 了 一 个 称 为 “Slasher” 的 方法 来 惩罚 尝试 进行 分 又 攻击 的 矿工 。 在 
Slasher 方案 中 ,使 用 筹码 去 挖 矿 需要 用 私 钥 对 当前 区 块 进行 签名 ， 来 应 对 那些 
进行 作弊 的 交易 ， 如 采矿 工 曾 经 使 用 相同 的 筹码 去 签署 两 个 不 连续 的 区 块 链 
(不 是 前 后 关系 ) ，Slasher 允许 其 他 矿工 可 以 在 区 块 链 上 输入 这 两 个 签名 作为 作 
兰 的 证 据 ， 并 且 拿 走 一 部 分 筹码 以 作为 奖励 。 虽 然 看 起 来 这 个 方案 非常 有 效 ， 
但 是 协议 本 身 非常 复杂 ， 还 没有 被 实际 部 署 。 

一 个 终极 的 防御 攻击 方式 可 能 存在 ， 就 如 同 我 们 在 传统 挖 矿 方案 中 看 到 的 ， 
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矿工 可 以 简单 地 没有 足够 的 动力 去 进行 攻击 ， 因 为 即使 攻击 成 功 ， 也 会 危害 整 
个 系统 并 使 得 他 们 所 拥有 的 筹码 贬值 。 


虚拟 挖 矿 的 其 他 弱点 

虚拟 控 矿 还 有 其 他 两 个 弱点 值得 提 及 。 第 一 ， 在 某 种 形式 的 虚拟 控 人 矿 方案 
中 ， 即 使 “股权 粉碎 攻击 ”不 存在 ， 也 可 能 使 得 某 些 类 型 的 攻击 变 得 容易 ， 因 
为 挖 矿 “ 蓄 力 ” (save up) 是 可 能 的 。 例 如 ， 大 量 的 币 可 以 被 积蓄 起 来 ， 直 到 
可 以 进行 一 次 剧烈 的 挖 矿 变 化 使 得 分 又 成 为 可 能 。 即 使 是 某 个 类 似 于 Slasher 这 
样 严禁 同时 在 两 个 区 块 链 上 挖 矿 的 系统 上 ， 也 是 可 能 的 。 为 了 防止 这 样 的 攻击 ， 


第 二 ， 如 果 虚 拟 挖 矿 中 的 某 个 矿工 获得 了 51% 的 筹码 ， 他 可 以 通过 只 在 他 
的 区 块 上 挖 矿 的 方式 永远 保持 这 个 优势 ， 基 本 上 也 就 意味 着 可 以 控制 整个 区 块 
链 。 如 果 有 新 的 筹码 和 交易 费 从 区 块 奖励 中 产生 ， 那 个 拥有 51% 的 矿工 也 会 并 
去 这 些 奖励 ， 这 会 让 他 的 筹码 慢 慢 接近 100% 。 在 传统 控 矿 模式 中 ， 即 使 有 一 个 
51% 的 矿工 存在 ， 永 远 可 能 存在 拥有 更 大 算 力 和 更 低能 耗 的 其 他 矿工 出 现 ， 并 
且 会 减少 最 大 矿工 的 市 场 份额 。 在 虚拟 挖 矿 里 ， 很 难 避 人 免 这 个 问题 。 


虚拟 挖 矿 有 可 能 真 的 成 功 吗 

在 比特 币 的 主流 社区 里 ， 虚 拟 挖 矿 是 有 和 争议 的 。 有 一 个 说 法 是 ， 系 统 的 安 
全 性 必须 建立 在 中 正 的 资源 消耗 上 ， 也 就 是 动用 真正 的 电脑 硬件 和 消耗 电能 去 
进行 解 访 运 算 。 如 果 这 个 理论 成 立 ， 工 作 量 证 明 上 的 能 源 耗 费 可 以 被 看 成 是 系 
统 的 安全 费用 。 但 这 个 论点 还 没有 被 证 明 ， 就 像 虚拟 挖 矿 的 安全 性 也 没有 被 证 
明 一 样 。 

总 结 来 说 ， 人 们 想 改 变 比 特 币 控 矿 解 迷 算法 的 很 多 方面 ， 这 也 是 研究 与 创 
新 的 重点 区 域 。 到 目前 为 止 ， 还 没有 一 个 百代 方案 具备 理论 健全 性 和 实用 性 。 
例如 ， 即 使 Serypt 算法 在 男 类 币 中 很 受 欢迎 ,但 是 也 没有 做 到 真正 的 反 ASIC ， 
而 且 其 用 途 也 还 不 清楚 。 当 然 ， 蔡 代 的 解 迹 算 法 完全 有 可 能 在 未 来 获得 更 大 的 
成 功 。 毕 况 ， 比 特 币 本 喘 也 经 历 了 数 十 年 的 不 断 失 败 的 尝试 与 发 展 ， 才 最 终 成 
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为 一 个 既 有 很 好 的 设计 理念 又 有 相当 的 实用 性 的 加 密 数 字 货 币 。 


延伸 阅读 


定义 刚性 内 存 功能 和 建议 范本 的 论文 是 : 

Percival, Colin. “ Stronger Key Derivation via Sequential Memory-Hard Func- 
tions, 2009. 

您 可 以 通过 如 下 网 址 阅读 : 

https: //www. bsdcan. org/2009/schedule/attachments/87_ scrypt. pdf. 


关于 内 存 范 围 (memory-bound) 功能 的 早期 论文 包括 : 

Abadi, Martin, Mike Burrows, Mark Manasse, and Ted Wobber. “ Moderately 
Hard, Memory-Bound Functions. ” ACW Transactions on ntemer: Technology 5 
(2 ) ，2005. 

Dwork, Cynthia, Andrew Goldberg, and Moni Naor. “ On Memory-Bound Func- 
tions for Fighting Spam. ”In Advances in Cryptology—Crypto 2003. Berlin: 
Springer, 2003. 


关于 Cuckoo Cycle proposal 的 研究 包括 : 

Tromp, John. “Cuckoo Cycle: A Memory-Hard Proof-of-Work System. ” IACR 
Cryptology ePrint Archive, 2014. 

您 可 以 通过 以 下 网 址 阅读 : 

https: //eprint. iacr. org/2014/059. pdf. 


关于 永久 币 的 介绍 请 参阅 : 

Miller, Andrew, Ari Juels, Elaine Shi, Bryan Parno, and Justin Katz. “Perma- 
coin: Repurposing Bitcoin Work for Data Preservation. ”In Proceedings of the 
2074 IEEE Symposium on Security and Privacy, 2014. 

您 可 以 通过 如 下 网 址 阅读 : 
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http: //research. microsoft. com/ pubs/217984/permacoin. pdf. 


讨论 不 同 的 哈 希 函数 和 SHA -3 竞争 的 论文 是 : 

Preneel Bart. “ The First 30 Years of Cryptographic Hash Functions and the 
NIST SHA-3 Competition. ”In Topics in Cryptology—CT-RSA, 2010. Berlin : 
Springer, 2010. 


关于 不 可 外 包 谜 题 的 介绍 是 : 

Miller, Andrew, Elaine Shi, Ahmed Kosba, and Jonathan Katz. “ Nonoutsource- 
able Scratch-Off Puzzles to Discourage Bitcoin Mining Coalitions. ”In Proceedings 
of the 22nd ACM Conference on Computer and Communications Security, forthcom- 


ing. 
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在 前 面 的 章节 里 ,我 们 展示 了 比特 币 的 技术 基础 架构 和 它 作 为 负 pi 
现在 我 们 来 探讨 除了 货币 之 外 ， 比 特 币 可 以 作为 核心 组 成 部 分 的 其 他 应 用 。 
些 应 用 ， 有 些 是 直接 利用 了 比特 币 的 当前 特性 ， 并 未 做 任何 修改 ， ge 
需要 做 一 些微 小 调整 的 。 

我 们 根据 应 用 的 实用 性 和 学 术 上 的 趣味 性 选择 了 下 述 应 用 案例 ， 人 尽管 案例 
并 不 能 穷 举 ,但 这 些 关 于 比特 币 运 作 的 例子 (或 者 设想 中 的 运作 模式 ) ， 将 给 您 
对 比特 币 新 的 用 途 看 法 融 来 一 些 司 示 。 


各 
让 


9.1 比特 币 作 为 一 个 只 能 被 添加 的 记录 


比特 币 是 一 个 只 能 浴 加 而 不 能 删除 的 记录 。 它 是 一 种 可 以 不 断 添加 新 的 数 
据 ， 但 是 数据 一 旦 被 添加 上 去 ， 就 变 得 不 可 修改 并 且 永 久保 存 的 数据 结构 。 因 
此 ， 通 过 比特 币 ， 我 们 可 以 获得 一 个 时 间 顺 序 : 判断 一 个 数据 是 在 另 一 个 数据 
之 前 还 是 之 后 被 写 进 了 记录 的 。 这 个 次 序 是 由 区 块 之 间 的 哈 硕 困 数 指针 ， 而 不 
征 区 块 上 的 时 间 崔 所 决定 的 ， 因 为 时 间 戳 可 以 作假 ， 或 者 是 由 于 矿工 更 改 时 间 
怜 的 值 使 其 变 得 更 小 (更 早 ) ， 或 者 是 矿工 的 计算 机 时 钟 没有 同步 ， 更 或 者 是 由 
于 网 络 延 时 产生 的 差异 。 话 虽 如 此 ， 如 果 一 个 区 块 的 时 间 惟 延迟 了 好 几 个 小 时 ， 
它 就 会 被 其 他 的 矿工 们 拒绝 。 所 以 时 间 惟 还 是 相对 准确 的 。 通 过 下 面 的 示例 ， 
我 们 可 以 看 到 ， 这 些 特性 是 有 实际 用 途 的 。 
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安全 时 间 截 

比特 币 这 种 只 能 被 添加 的 记录 特性 可 以 被 用 来 建立 一 个 安全 时 间 惟 〈secure 
timestamping) 系统 。 假 如 ， 想 要 证 明 在 时 间 了 我 们 就 知道 了 x 的 值 ， 但 并 不 想 
披露 它 的 具体 值 。 只 有 在 未 来 很 长 时 间 后 ， 当 有 可 能 需要 证 明 我 们 确实 知道 这 
个 值 的 时 候 ， 才 有 可 能 需要 去 披露 它 〈 当 然 ， 如 果 我 们 在 时 间 了 知道 x 的 值 ， 
我 们 在 T 之 后 的 时 间 还 是 知道 这 个 x 的 值 ) 。 而 且 我 们 一 旦 证 明了 这 一 点 ， 就 需 
要 使 这 个 证 据 具 备 永 久 性 。 

在 第 1 章 中 我 们 看 到 ， 可 以 用 哈 希 清 数 来 锁定 数据 x。 我 们 不 需要 公布 x 值 
本 身 ， 取 而 代 之 地 ， 只 需要 在 区 块 链 里 公布 这 个 数据 值 的 哈 布 图 数 H (x)， 即 
可 以 来 证 明 我 们 知道 这 个 X 值 ， 这 个 哈 而 果 数 的 特性 ， 保 证 了 我 们 不 可 能 冉 找 
到 另外 一 个 数据 y， 其 哈 硕 困 数 结 果 与 x 的 哈 而 遇 数 结果 一 致 ， 也 就 是 说 ， 当 
y 关 Xx 时, H (x) =H (y) 是 不 存在 的 。 我 们 还 可 以 依赖 哈 布 困 数 另外 一 个 营 
用 的 特性 : 只 要 x 本身 具备 比较 高 的 最 小 信息 灶 分 布 特性 (distribution with high 
min-entropy ) ， 也 就 是 说 ,x 是 不 可 预测 的 ， 那么 x 的 喻 希 函 数 结果 不 会 透露 关 
于 x 的 任何 信息 。 如 果 x 本 身 没 有 这 种 不 可 预测 的 特性 ， 就 像 我 们 在 第 1 章 中 探 
讨 的 ， 我 们 可 以 选 拼 一 个 有 较 高 的 最 小 信息 箭 分 布 的 随机 数 r 和 x 组 合 签名 ， 然 
后 用 H (rl x) 作为 对 外 公布 的 一 个 数值 约定 。 

这 个 设想 的 核心 就 是 我们 在 时 间 点 TT 只 癌 外 公布 哈 希 哨 数 H (rl x)， 然 
后 在 之 后 的 某 个 时 间 点 来 公布 r 和 x。 任何 人 看 到 这 个 只 能 做 增 量 的 记录 ， 都 会 
相信 在 我 们 发 表 H (rl x) 的 时 候 我 们 一 定 思 | 道 x， 因 为 没有 际 此 之 外 的 其 他 方 
法 可 以 让 我 们 产生 那些 数据 。 

时 间 戳 的 应 用 

这 个 安全 时 间 惟 到 底 有 什么 用 途 呢 ? 一 个 可 能 的 应 用 就 是 可 以 用 来 证 明 创 

意 的 优先 性 。 假 设 我 们 想 证 明 ， 申 请 专利 的 一 些 创 意 点 子 早 就 在 我 们 头脑 里 存 


在 。 我 们 可 以 在 产生 创意 的 第 一 时 间 ， 就 将 设计 文档 或 者 示意 图 草稿 在 区 块 链 
里 用 上 蛤 希 娟 数 发 表 出 来 ,但 不 会 各 任何 人 泄露 这 个 创意 的 具体 内 容 。 之 后 ， 当 
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我 们 提交 专利 申请 或 是 公布 这 个 想法 的 时 候 ， 我 们 可 以 将 最 初 的 设计 文档 和 相 
关 信 息 发 表 出 来 ， 任 何人 都 可 以 查证 这 些 文件 的 函数 时 间 戳 ,来 证 实 我 们 在 这 
之 前 ， 也 就 是 我 们 发 布设 计 文 档 的 哈 希 水 数 约定 的 时 候 ， 就 已 经 有 了 这 个 创意 
(证 明 我 们 对 这 个 创意 的 时 间 上 优先 所 有 权 )。 

我 们 还 可 以 用 同样 的 方法 来 证 明 ， 其 他 人 收 到 过 我 们 发 给 他 们 的 信息 。 假 
设 爱 丽 丝 雇用 鲍 勃 去 做 一 个 编程 的 工作 一 一 他 们 之 间 的 合同 规定 ， 鲍 肠 必 须 在 
一 定 的 时 间 内 将 他 所 做 的 工作 内 容 提交 给 爱丽 丝 。 双 方 部 想 要 获得 一 个 保证 ， 
如 果 将 来 对 相关 工作 内 容 有 和 争议 ， 比 如 人 鲍 动 吓 否 按 时 提交 程序 或 者 他 提交 的 内 
容 是 否 满 足 合 同 要 求 ， 双 方 都 希望 可 以 有 相关 的 事实 去 证 明 。 为 了 确保 这 一 点 ， 
他 们 可 以 互相 协商 ， 将 鲍 勃 提交 的 工作 内 容 共 同 签名 后 ， 绸 在 区 块 链 上 发 表 
它 的 哈 硕 图 数 。 任 何 一 方 如 条 对 提交 的 时 间或 者 内 容 撤 六 ， 尺 一 方 可 以 通过 
披露 哈 升 困 数 的 输入 来 重 现 当 时 发 表 的 内 容 ， 来 证 明 对 方 是 错 的 〈 比 如 在 法 
码 上 。 

安全 时 间 戳 功能 还 有 许多 其 他 有 意思 的 应 用 。 有 一 种 完全 公 钥 签名 方案 ， 
被 称 为 冀 人 很 * 福克斯 签名 方 宁 (Guy Fawkes signature scheme) ， 相 比较 通 笛 的 公 
角 签 名 ， 只 是 利用 了 哈 希 因数 和 只 能 做 增 量 记 录 的 记录 特性 ， 而 不 震 要 任何 重 
量 级 的 加 密 算 法 。 





对 未 来 预测 证 明 的 攻击 

我 们 目前 无 法 仅仅 用 时 间 鹤 就 证 明 对 未 来 的 准确 预测 ， 能 对 未 来 进行 预测 
(clairooyance) ， 妆 然 非 党 好 。 而 且 从 表面 上 看 ， 这 好 像 可 以 做 到 。 在 一 个 事件 
发 生 之 前 〈 比 如 一 个 体育 比赛 或 是 选举 ) 发 表 一 个 对 结果 的 预言 ， 然 后 在 事件 
发 生 之 后 ， 青 证明 在 之 前 就 已 经 预测 到 了 。 但 这 个 方法 是 否 真 正 可 行 ? 

在 2014 年 下 半年 的 世界 杯 决赛 阶段 ， 有 人 想 用 这 个 办 法 来 “证 明 ” 世 界 标 
的 组 织 方 国际 足 联 (Federation Internationale de Football Association ， 简 称 FIFA) 
在 摘 腐 败 。 当 时 有 个 推 特 账号 ， 由 于 在 一 些 重要 比赛 之 前 就 可 以 准确 地 预测 到 
这 些 比 绩 的 结果 ， 因 而 被 广 受 关注 。 比 如 ， 该 账号 准确 地 预测 到 德国 队 会 在 加 
时 赛 取 胜 并 且 马 里 奥 . 格 策 (Mario Cutze) 会 进 球 。 这 看 起 来 可 以 证 明 ， 要 么 
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是 微 博 主 人 有 预知 未 来 的 能 力 ， 要 么 是 比赛 被 操纵 了 。 然 而 事实 上， 这 个 博 主 
只 是 在 比赛 前 发 布 了 所 有 可 能 发 生 的 事件 ， 比 如 ， 对 于 所 有 的 参赛 球员 ， 都 有 
一 条 关于 他 会 进 球 的 微 博 ， 以 及 对 于 每 一 种 可 能 的 最 终 比 分 ， 都 有 一 条 相关 的 
微 博 等 〈 见 图 9.1) ， 然 后 在 比赛 结束 之 前 ， 博 主 删除 了 所 有 那些 不 准确 的 预 
测 ， 只 留 下 那些 准确 的 “预测 ”。 

FIFA Corruption @fifndhs 


Germany will win at ET 
号 17 hours ago 各 Reply tHRetweet 六 Favorite O12K more 


FIFA Corruption @fifndhs 
Argentina will win in penalties 
台 17 hours ago Reply t3Retweet 认 Favorite 


FIFA Corrupuon @fifndhs 


Gotze will score 


D7hoursago 《Reply ttRetweet 站 Favorite O14K more 





FIFA Corruption @fifndhs 
There will be a goal in the second half of ET 


b>, 驶 17hoursago Reply t+Retweet 站 Favorite O12K more 


FIFA Gorrupbon @fifndhs 
Kroos will score 
只 17hoursago Reply t3Retweet 妆 Favorite 





FIFA Corruption @fifndhs 
Lahm will score 
如 17 hours ago Reply tyRetweet 女 Favorite 


FIFA Corraption @fifndhs 
Palacio will score 
路 17hoursago Reply tyRetweet 究 Favorite 





图 9.1 试图 对 未 来 进行 预测 
注 : 这 就 是 那个 虚假 的 试图 通过 预测 比赛 结果 来 “证 明 ” 世 界 杯 决赛 圈 的 比赛 被 操控 了 的 推 特 
账号 。 其 中 第 一 个 和 第 四 个 在 赛 后 被 证 明 是 正确 的 ， 其 他 不 准 的 预测 就 被 删 掉 了 。 


可 以 用 同样 基础 的 攻击 方法 攻破 任何 安全 时 间 惟 系统 。 你 只 需要 在 事先 预 
埋 下 所 有 的 结果 ， 然 后 最 终 只 披露 那个 正确 的 结果 。 这 就 意味 着 如 果 你 想 证 明 
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你 有 预测 能 力 ， 就 必须 去 证 明 你 做 且 只 做 了 一 个 预测 结果 ， 而 不 是 多 个 预测 。 
但 如 果 你 想 基于 哈 希 函数 揭示 结果 ， 是 很 难 实现 的 ， 尤 其 是 在 比特 币 的 区 块 链 
上 ， 因 为 安全 时 间 惟 系统 并 不 将 承诺 与 任何 个 人 身份 识别 相关 联 。 如 采 你 不 揭 
示 它 们 ， 就 会 很 容易 公布 很 多 种 承诺 ， 而 那些 你 从 未 揭示 的 承 详 很 难 轻易 追 渊 
到 你 。 


过 时 的 安全 时 间 戳 

这 里 介绍 一 个 简单 的 低 科 技 含量 的 安全 时 间 截 方案 : 通过 刊登 广告 ， 你 可 
以 在 一 份 报纸 或 者 其 他 媒体 上 登 出 你 预测 结果 的 哈 希 哨 数 值 ， 相 关 的 旧 报 纸 杂 
志 会 被 保存 在 图 书馆 里 或 者 在 线 备 份 。 这 种 方法 可 以 提供 较 高 程度 的 保证 ， 证 
明 你 在 报纸 发 出 的 当天 就 已 经 知道 这 个 结果 了 。 以 后 ， 当 你 想 要 披露 你 预测 的 
结果 时 ， 你 可 以 在 同一 个 报纸 上 刊登 第 二 份 公告 。 


比特 币 里 的 安全 时 间 戳 


如 果 我 们 想 用 比特 币 而 不 是 报纸 来 实现 时 间 戳 的 功能 ， 我 们 应 该 在 哪里 放 
置 约定 的 哈 硕 值 ? 是 在 交易 中 的 某 个 环节 ， 还 是 直接 在 一 个 区 块 里 ? 

人 们 想 出 来 的 第 一 个 也 是 最 简单 的 解决 办 法 是 ， 直 接 把 钱 打 到 数据 的 哈 希 
图 数值 ， 而 不 是 公共 钥匙 的 函数 值 。 由 于 你 不 知道 对 应 地 址 的 私 铀 ， 这 样 做 会 
“消耗 ”这 些 币 ， 让 它们 销毁 掉 ， 并 且 永 不 能 被 利用 。 为 了 降低 成 本 ， 你 可 能 需 
要 发 送 微量 的 币值 ， 比 如 1 聪 (satoshi，0. 0000001 个 比特 币 ， 这 是 比特 币 的 最 
小 交易 额 ) 。 

这 个 方法 虽然 很 简单 ， 但 消耗 比特 币 的 做 法 不 讨 人 喜欢 ( 即使 和 交易 费 相 
比 ， 这 种 被 消耗 的 比特 币 量 级 可 以 忽略 不 计 ) 。 更 大 的 问题 是 ， 因 为 比特 币 矿 工 
不 知道 这 些 交 易 开 支 是 永远 不 可 用 的 ， 他 们 会 永远 地 追踪 下 去 。 因 此 整个 比特 
币 社 区 对 这 个 方法 都 不 太 感 冒 。 

万 一 个 较为 先进 的 被 称 为 承诺 币 (CommitCoin) 的 方法 ， 是 将 你 的 数据 编 
码 进 私 钥 里 。 第 1 章 中 曾经 提 到 过 : “使 用 ECDSA 时 ， 确 保 随机 性 良好 来 源 至 
关 重 要 ， 因 为 不 良 来 源 将 可 能 导致 密 钥 信息 的 泄露 。 这 一 点 不 难 理解 ， 如 果 你 
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使 用 了 不 良 随机 源 来 生成 密 钥 ， 那 么 该 密 钥 就 可 能 不 安全 。 但 是 ECDSA 的 古怪 
就 在 于 ， 即 使 你 仅仅 只 是 在 生成 签名 时 使 用 了 不 良 随 机 源 ， 而 你 使 用 的 密 钥 完 
美 无 缺 ， 你 的 个 人 密 钥 还 是 可 能 会 被 泄露 。 

承诺 币 利用 了 这 个 特性 。 我 们 生成 一 个 新 的 私 钥 把 我 们 的 数据 约定 进行 编 
码 ， 并 对 应 地 生成 一 个 公 钥 。 人 然后 我 们 会 发 送 一 个 微小 金额 的 交易 (比如 2 000 
聪 ) 到 那个 地 址 ， 随 后 青 发 送 两 笔 每 次 1 000 聪 的 交易 回来 。 最 重要 的 是 ， 当 发 
送 回 来 的 时 候 ， 我们 会 用 同样 的 随机 源 来 对 两 次 交易 进行 签名 。 这 样 ， 任 何人 
在 区 块 链 里 计算 包含 被 封装 的 数据 约定 的 私 钥 时 ， 必 须 使 用 两 个 签名 。 

比 起 把 数据 约定 编码 到 公 和 钥 的 方法 ， 承 诺 币 避免 了 消耗 额外 的 比特 币 ， 而 
且 和 矿工 不 再 会 一 直 追 踪 一 个 永久 不 能 再 被 使 用 的 文 出 。 不 过 这 个 方法 十 分 复杂 。 


不 能 被 再 次 使 用 的 输出 

一 直到 2015 年 ， 比 特 币 实行 时 间 戳 的 办 法 是 用 一 个 OP_ RETURN 的 交易 ， 
这 个 交易 的 输出 可 以 被 证 明 ， 但 不 能 被 二 次 使 用 ( 见 图 9.2)。 这 个 OP_RE- 
TURN 指令 会 立刻 返回 一 个 错误 代码 让 这 个 脚本 永远 不 能 成 功 地 执行 ， 这 样 一 
来 ， 所 封 小 的 数据 就 被 忽略 了。 就 像 我 们 在 第 3 章 看 到 的 ， 这 既 可 以 用 做 消耗 
证 明 ， 也 可 以 用 来 编码 任意 数据 。 到 2015 年 ，OP_ RETURN 允许 输出 80 个 字 节 
的 数据 ， 这 对 哈 而 男 数 来 说 是 足够 (SHA -256 需要 32 个 字 节 ) 。 


OP _ RETURN <H (data) > 


9.2 用 OP_RETURN 指令 的 时 间 惟 
注 : 这 是 一 个 “不 能 被 再 次 使 用 ”的 交易 输出 脚本 ， 中 间 封 装 了 一 个 数据 约定 


这 个 方法 “ 挤 出 了 ”在 没有 被 使 用 过 交易 文 出 里 的 “水 分 ”， 因 为 矿工 会 
精 丛 OP_ RETURN 里 的 文 出 。 这 个 数据 约定 的 花费 其 实 就 是 一 个 交易 费 。 在 整 
个 2015 年 ， 一 个 典型 的 交易 费 通常 小 于 1 美 分 。 这 个 交易 费 可 以 分 挫 在 针对 多 
个 数据 的 一 个 约定 上 ， 从 而 使 得 成 本 更 低 。 在 2015 年 年 末 ， 已 经 有 几 个 网 站 在 
做 这 些 服务 。 它 们 收集 不 同 用 户 的 一 组 数据 ， 把 这 些 数据 封装 到 一 个 梅 克 尔 树 
中 ， 然 后 发 布 一 个 包含 了 这 个 梅 克 尔 树 树 根 数据 中 不 能 被 再 次 使 用 的 交易 支出 。 
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这 种 做 法 就 好 比 ， 把 当天 需要 实行 时 间 惟 的 所 有 用 户 数 据 封装 到 了 一 个 数据 约 
里 。 


所 孜 


非法 内 容 

区 块 链 随意 封装 数据 的 特性 也 有 不 好 的 地 方 ， 可 能 会 被 某 些 人 恶意 使 用 。 
在 大 多 数 国家 ， 有 些 内 容 ， 尤 其 如 儿童 色情 ， 它 的 制作 和 传播 都 是 非法 的 ， 并 
日 会 伴随 非常 严厉 的 处 神 。 著 作 权 法 也 严格 规定 了 某 些 内 容 的 传播 。 

当然 ， 不 少 人 已 经 尝试 这 样 做 去 “人 危害 ”或 者 扰乱 比特 币 社 区 。 比 如 ， 有 
报道 称 有 部 分 色情 链接 被 公布 在 比特 币 的 区 块 链 上 。 这 些 害 群 之 马 的 目的 ， 就 
是 让 下 载 比 特 币 区 块 链 到 个 人 硬盘 并 且 运 行 完全 有 效 节 点 的 行为 变 得 很 危险 ， 
这 也 意味 着 你 有 可 能 存储 和 传播 了 这 些 非法 的 信息 。 

然而 ， 截 至 目前 ， 还 没有 好 的 办 法 来 阻止 这 种 写 人 任意 数据 到 比特 币 区 块 
链 的 行为 ， 即 使 我 们 用 P2SH ( 文 付 给 脚本 的 哈 硕 值 ) 来 防止 恶意 攻击 行为 ， 也 
只 不 过 是 使 交易 多 花 些 费用 而 已 ， 无 法 完全 阻止 这 种 行为 。 

好 在 法 律 不 是 计算 机 算法 ， 尝 试用 技术 的 手段 对 法 律 进行 “黑客 攻击 ” 昌 
然 很 族人 ， 但 并 不 容易 。 法 律 是 需要 人 类 来 解释 的 ， 并 融合 了 其 他 因素 ， 比 如 
我 们 的 意图 。 以 美国 联邦 法 案 2252 号 为 例 ， 其 中 在 描述 有 关 拥 有 、 分 发 传播 和 
接收 儿童 色情 制品 的 非法 行为 时 ， 使 用 的 措辞 就 用 了 “明知 故 犯 ” 这 样 包 含 了 
意图 的 关键 词 。 

男 外 一 个 值得 注意 的 是 ， 根 据 上 面 我 们 讨论 过 的 字 节 大 小 的 限制 ， 图 片 数 
据 (除非 是 非常 小 的 图 厂 ) 不 能 直接 被 写 在 区 块 链 的 数据 块 中 ， 这 些 数 据 要 么 
被 存放 在 只 在 区 块 链 中 保存 相应 链接 的 外 部 数据 库 中 ， 要 么 是 用 一 种 完 长 的 办 
法 封 妆 在 多 个 交易 之 中 。 最 终 的 结果 就 是 ， 大 多 数 比 特 币 用 户 都 没有 能 力 在 交 
易 中 生 接 解 码 并 查看 数据 ， 更 不 用 说 解码 并 查看 跨越 多 个 交易 的 数据 了 


依附 在 比特 币 上 的 附着 币 


从 好 的 一 方面 来 说 ， at 进 比 特 币 的 区 块 ， 从 
而 在 比特 币 的 系统 之 上 建立 起 一 个 全 新 的 货币 系统 ， 而 不 需要 开发 一 个 新 的 
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共识 机 制 。 我 们 只 需要 简单 地 把 比特 币 用 作 一 个 只 能 被 添加 的 记录 ， 然 后 把 
我 们 开发 新 币 所 需要 的 所 有 数据 写 进 比特 币 的 区 块 链 。 我 们 称 这 种 方法 为 一 
个 依附 在 比特 币 上 的 “附着 币 ” (overlay currencies)。 比 特 币 成 为 一 个 底层 基 
而 架构 ， 所 有 附着 币 的 数据 ， 通 过 以 不 可 消费 的 交易 支出 的 方式 写 进 比 特 币 
的 区 块 链 。 

当然 ， 比 特 币 的 矿工 不 会 验证 你 写 进 区 块 链 的 数据 ， 因 为 他 们 不 知道 也 并 
不 关心 这 些 数 据 在 你 所 定义 的 新 的 货币 体系 里 是 否 正 当 有 效 。 只 要 你 肯 付 交易 
费 ， 任 何人 都 可 以 写 任 何 东 西 。 不同 的 是 ， 你 必须 目 己 开发 更 加 复杂 的 逻辑 来 
验证 新 货币 体系 里 的 交易 ， 然 后 在 每 个 收发 这 种 新 币 的 客户 端 (也 就 是 钱包 和 软 
件 ) 都 必须 有 这 套 逻 辑 。 

举例 来 说 ， 一 个 附着 币 的 矿工 不 能 再 拒绝 双重 文 付 的 交易 。 相 反 ， 每 个 附 
着 币 的 用 户 必 须 检 查 区 块 链 里 的 历史 记录 。 如 果 有 人 尝试 重复 支付 这 个 币 (已 
经 被 用 过 一 次 了 ) ， 那 样 第 二 次 的 交易 就 应 该 被 直接 忽略 。 因 为 这 个 缘故 ， 在 附 
着 币 里 没有 一 个 轻 量 级 的 SPV 客户 端 。 

合约 币 (Counterparty) 是 其 中 一 种 比较 优秀 的 附着 币 ， 所 有 合约 币 的 交易 
都 被 写 人 比特 币 的 区 块 链 ， 在 2014 年 ， 大 约 有 0.5% ~1% 的 比特 币 交易 携带 了 
合约 币 的 数据 。 同 时 它 支 持 的 功能 也 比比 特 币 更 多 、 更 丰富 ， 因 为 合约 币 不 需 
要 开发 新 的 共识 机 制 ， 而 比特 币 的 矿工 也 不 需要 了 人 解 合约 币 的 规则 ， 合 约 币 的 
开发 者 可 以 集中 精力 开发 一 些 有 趣 的 功能 ， 比 如 智能 合约 、 用 户 自 定义 货币 等 。 
合约 币 的 API 也 比比 特 币 的 API 丰富 很 多 ， 因 为 比特 币 的 矿工 不 需要 理解 或 者 
是 批准 这 些 API 的 开发 。 

不 震 要 开发 新 的 共识 机 制 就 可 以 创造 一 个 新 的 数字 货币 ， 这 种 可 能 性 是 十 
分 户 人 的。 你 甚至 不 需要 去 鼓励 新 矿工 们 来 加 入 你 的 系统 ， 也 不 需要 去 改变 比 
计 币 束 可 以 增加 新 的 功能 特性 . 但 是 ， 这 种 系统 还 是 依赖 于 比特 币 的 ， 比 如 ， 
这 些 附 寿 币 的 交易 客 规则 就 受制 于 比特 币 。 另 外 ， 由 于 附着 币 上 的 节点 可 能 需 
要 处 理 大 量 的 数据 ， 而 比特 币 不 会 玫 你 去 过 滤 这 种 交易 ， 这 种 方法 也 有 可 能 是 
低 效率 的 。 
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9.2 比特 币 作 为 一 个 “智能 资产 ” 


我 们 现在 来 探讨 一 下 ,| 除了 货币 功能 ， 比 特 币 平台 的 其 他 特性 。 

我 们 在 前 面 第 6 章 中 谈 到 ， 你 可 以 简单 地 通过 跟 蹊 交易 图 谐 ， 就 可 以 在 比 
特 币 系统 里 追踪 一 个 币 的 所 有 权 。 请 记 住 这 一 点 : 没有 一 个 具体 意义 上 的 比特 
“ 币 ”， 只 有 未 消费 的 支出 ， 我 们 把 它们 叫 作 币 。 每 个 比特 币 都 有 一 个 历史 记录 ， 
任何 人 都 可 以 在 区 块 链 里 查询 到 。 一 个 币 的 历史 记录 可 以 追溯 到 一 个 或 多 个 原 
始 交易 ， 这 些 原 始 交 易 标志 者 这 个 比特 币 的 诞生 。 正 如 我 们 之 前 讨论 过 的 ， 在 
比特 币 里 ， 匿 名 性 其 实 是 个 伪 命 题 ， 因 为 你 可 以 通过 这 个 方法 去 追踪 比特 币 的 
所 有 权 。 


¢ 可 互 换 性 (fungibility ) 





比特 币 的 这 个 特征 让 我 们 发 现 了 它 的 一 个 有 趣 的 现象 : 比特 币 不 是 可 互 
换 的 。 在 经 济 学 中 ， 一 个 具备 可 替代 性 的 商品 是 指 所 有 的 个 体 是 相同 的 ， 然 
后 可 以 互相 替换 。 比 如 黄金 就 是 可 以 互 换 的 ， 一 益 司 纯 金 可 以 和 男 一 桨 司 纯 
金 互 换 (因为 它们 之 间 疫 有 任何 差别 ) 。 但 是 比特 币 不 一 样 ， 每 个 比特 币 都 是 
独一无二 的 ， 因 为 每 一 个 比特 币 都 有 着 自己 独特 的 历史 记录 。 

在 很 多 场景 下 ， 不 同 的 历史 记录 可 能 不 会 有 什么 差异 ， 但 是 如 果 特 定 的 
历史 记录 对 某 些 人 比较 有 意义 ， 那 么 在 你 和 他 们 交易 的 时 候 ， 你 的 一 个 比特 
币 和 他 们 的 一 个 比特 币 就 不 一 样 。 可 能 有 些 人 不 愿意 用 他 的 比特 币 来 和 你 交 
换 ， 可 能 因为 他 更 喜欢 他 的 比特 币 的 历史 记录 ， 例 如 ， 部 分 重视 旧 币 价值 的 
收藏 家 们 ， 可 能 觉得 从 创 世 区 块 里 造 出 的 币 有 着 特殊 的 价值 。 


智能 资产 
比特 币 的 这 个 可 追溯 性 特性 有 什么 作用 吗 ? 我 们 已 经 看 到 它 可 能 会 危害 比 
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特 币 的 匿名 性 。 接 下 来 ， 我 们 要 看 一 下 为 什么 比特 币 的 历史 记录 会 有 意义 

让 我 们 先 思考 一 下 ， 怎 样 让 一 个 普通 的 线 下 的 物理 货币 有 意义 ? 假设 我 们 
想 要 在 物理 货币 中 加 载 一 个 元 数据 ， 事 实 上 已 经 有 人 在 这 么 做 了 。 例 如， 在 纸 
币 上 涂 些 文字 ， 通 常 是 一 个 笑话 或 者 是 一 种 “政治 宣言 ” 。 但 这 么 做 纯粹 为 了 好 
玩 ， 并 不 影响 纸币 的 价值 : 

但 如 果 我 们 可 以 把 证 实 过 的 元 数据 “ 黏 ” 在 我 们 的 赁 币 上 ， 而 这 些 元 数据 
不 是 轻易 就 可 以 复制 的 ， 又 会 有 什么 结果 呢 ? 有 一 个 做 法 驶 是 把 加 密 签 名 包含 
在 元 数据 内 ， 然 后 把 这 个 元 数据 和 钞票 上 的 序列 号 进行 绑 定 

但 这 又 有 什么 用 呢 ? 比如 一 个 棒球 队 ， 如 果 想 用 纸币 作为 门票 ， 那 么 采用 
这 个 做 法 ,他们 就 不 需要 花费 大 量 精力 去 印 制 门票 ， 也 不 用 担心 有 人 会 去 伪造 
门票 。 纽约 扬 基 队 可 以 宣称 一 张 有 特殊 序列 号 的 美 钞 可 以 作为 一 场 特殊 比赛 的 
入 场 券 ， 并 且 指 定 到 某 个 特定 的 观 赛 席 。 这 些 特殊 的 纸币 可 以 采用 与 其 他 门票 
同样 的 方式 分 发 ， 比 如 邮寄 给 在 线 购买 球 票 的 球迷 。 任 何 拥 有 这 张 特殊 纸币 的 
人 ,都 可 以 赁 此 进入 体育 馆 ， 并 坐 在 指定 的 座位 上 观看 比赛 。 这 张 纸币 本 身 就 
是 门票 


一 


扬 基 队 可 以 用 数字 签名 来 增加 真实 性 。 他们 可 以 把 特定 的 比赛 日 期 、 座 位 
写 及 钞票 的 序列 号 一 起 做 签名 ， 然 后 把 这 个 签名 印 在 纸币 上 。 通 过 一 个 简单 的 
二 维 码 就 可 以 实现 这 个 功能 (如 图 9.3 所 示 )。 球 馆 可 以 相应 地 维护 一 个 保存 所 
有 和 钞票 序列 号 对 应 每 场 比赛 和 座位 号 的 数据 库 ， 当 你 途 票 人 场 的 时 候 ， 它们 只 
ebp 也 束 不 需要 在 纸币 上 盖 章 并 
印 上 相关 信息 

但 这 or 现在 ,纸币 可 以 代表 许多 事物 。 上 述 例子 中 ， 
ote 比赛 门票 ， 除 此 之 外 ， 纸 币 还 可 以 有 其 他 许多 应 用 。 为 了 纸币 

Te ni. 我 人 ein tied 性 ， 来 创建 
ong 然 ， 这 张 纸币 的 本 刁 价 值 也 保存 了 下 来 。 当 一 个 球迷 使 用 了 这 张 
门票 后 ， iii 不 可 以 正常 流通 。 当 然 ， 如 果 每 个 人 都 想 在 钞票 上 印 一 个 元 
数据 可 能 会 有 问题 ， 但 我 们 可 以 用 数据 库 的 方法 来 规避 这 个 问题 

当然 ， 这 个 新 的 元 数据 是 否 有 意义 ， 完 全 全 取决 于 我 们 对 数据 发 行者 的 信任 。 
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图 9.3 一 张 普通 的 钞票 上 设置 一 些 有 用 的 元 数据 
在 上 上面 这 个 例子 中 ， 一定 有 人 知道 存在 一 个 特定 的 “ 窗 钥 ”来 签发 有 效 的 扬 基 


ny 用 onehend 而 对 
其 他 人 来 说 ， 这 就 是 一 张 普 通 的 一 美元 纸币 。 无 论 如 何 ， 这 是 一 个 不 错 的 属性 ， 
因为 一 旦 在 这 张 “ 门 票 - 完成 使 命 后 ， 它 又 可 以 作为 普通 纸币 进入 赁 币 流通 . 


染色 币 

在 比特 币 上 ， 我 们 是 否 可 以 采用 类 似 的 数字 化 的 方式 增加 元 数据 呢 ” 我 们 
想 保 留 比特 币 好 的 特性 ， 比 如 可 以 在 线 交 易 、 快 速 结算 ， 以 及 不 依赖 于 银行 。 

顾名思义 ， 染 色 币 〈Colored Coins) 就 是 把 比特 币 “ 染 色 ”， 即 使 这 个 币 几 
经 倒 手 ,我 们 也 可 以 根据 这 个 特殊 的 “颜色 ”来 追踪 比特 币 ， 就 如 同 在 物理 货 
币 上 印 上 一 个 代表 特殊 数据 元 的 图 章 一 样 。 一 个 “染色 ”的 比特 币 依 然 可 以 作 
为 一 个 有 效 的 币 ， 只 是 携带 了 额外 的 元 数据 。 

为 了 做 到 这 一 点 ， 在 一 个 被 称 为 “发 行 ” 的 交易 里 ， 我 们 嵌入 一 些 额 外 的 
元 数据 来 宣布 某 些 比特 币 具备 了 特定 的 颜色 。 如 图 9.4 所 示 ， 在 一 个 交易 的 支 
出 中 ， 我 们 发 行 了 5 个 “ 浅 灰 色 ” 的 比特 币 ， 同一 交易 支出 里 的 其 他 的 7 个 ， 
仍然 是 普通 的 没有 染色 的 比特 币 。 男 外 一 个 人 ， 可 能 持 有 一 把 不 同 的 签名 密 钥 ， 
在 其 他 的 交易 里 发 行 了 “ 深 灰 色 ” 的 比特 币 。 我 们 称 之 为 “染色 ”， 是 为 了 便 
于 十 观 理解 。 在 实际 中 ， 所 谓 的 “ 颜 色 ” 其实 就 是 一 串 二 进 制 的 数字 代码 。 

里 ， 最 重要 的 一 点 特性 是 ， 同 样 颜色 和 同样 价值 的 币 是 完全 相同 的 。 
虽然 我 们 现在 有 不 同 颜色 的 比特 币 ， 但 依然 可 以 进行 正常 的 比特 币 交 易 ， 
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我 们 可 能 碰 到 一 个 交易 ， 它 包含 了 几 个 不 同 输入 的 比特 币 : 有 些 是 深 灰 色 的 ， 
有 些 是 浅 灰色 的 ， 有 些 是 没有 染色 的 ， 并 且 混 在 一 起 。 同 时 ， 这 个 交易 可 能 会 
有 几 个 支出 交易 ， 其 中 的 比特 币 保 持 着 被 染色 的 状态 ， 并 且 交 易 中 可 以 淮 加 一 
些 元 数据 ， 决 定 这 些 比特 币 根据 染色 的 不 同 去 往 不 同 的 交易 支出 ， 我 们 可 以 把 
一 个 包含 4 个 深 灰 色 币 的 支出 拆 分 成 两 个 更 小 的 深 灰 色 币 组 合 ， 我 们 也 可 以 把 
几 个 深 灰 色 币 组 合 到 一 个 大 的 深 灰 色 币 交 多 中 。 





图 9.4 染色 币 
注 ; 交易 图 谱 描述 了 染色 币 的 发 行 和 传播 过 程 。 
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开放 资产 

2015 年 ,在 比特 币 里 实施 “染色 ”的 、 最 受 欢 迎 的 应 用 方案 是 “开放 资 
产 ” (OpenAseet) 。 资 产 通过 一 个 特殊 的 文 付 给 脚本 的 哈 硕 值 (P2SH) 的 地 址 
来 发 行 。 如 果 你 想 发 行 染 色 币 ,首先 要 选择 一 个 P2SH 地 址 。 任 何 通过 这 个 地 址 
eddie cnet tt 
特定 的 颜色 。 如 果 要 让 这 个 染色 币 变 得 有 意义 ,你 还 要 把 这 个 地 址 公布 出 来 。 
有 许多 交易 所 会 追踪 这 些 地 址 来 推断 比特 币 染 上 何 种 颜色 。 由 于 比特 币 可 以 按 
照 时 间 顺 序 通过 多 个 地 址 进行 染色 ， 因 此 ， 一 个 比特 币 被 染 上 多 个 不 同 的 颜色 ， 
也 就 不 足 为 奇 了 。 

一 旦 执行 了 一 个 市 有 染色 币 的 交易 ， 你 就 必须 租 入 一 个 有 特殊 标记 的 文 出 ， 
就 像 我 们 给 数据 约定 加 时 间 堆 一样 ， 这 是 一 个 可 证 实 且 不 可 再 次 消费 的 支出 。 
被 封装 在 这 个 有 特殊 标记 的 支出 里 的 元 数据 ， 详 细 地 列 出 了 染色 的 输入 是 如 何 
分 配 到 不 同 输出 的 。 

正如 我 们 之 前 所 注意 到 的 ， 比 特 币 对 此 完全 兼容 ， 因 为 它 并 不 对 比特 币 做 
任何 改变 ， 矿 工 社 区 也 没有 对 这 种 做 法 多 加 干涉 。 无 须 中 央 权 威 授 权 ， 它 允许 
任何 人 对 货币 进行 各 种 染色 。 只 要 有 人 理解 、 认 可 并 遵循 你 所 设计 的 染色 币 的 
规则 ， 那 么 你 所 发 行 的 染色 币 甚 至 有 可 能 超过 比特 币 本 身 的 价值 。 比 如 ， 如 果 
扬 基 队 发 行当 色 币 ， 并 且 这 些 币 可 以 作为 球场 人 场 门票 ， 只 要 球场 的 管理 员 认 
可 这 些 染 色 币 的 门票 特性 ， 他 们 就 会 让 你 赁 票 (染色 币 ) 人 场 。 

这 个 方法 的 第 一 个 缺 反 是 ， OT TT 
个 交 多 里 。 由 于 每 次 交易 一 个 染色 币 时 ， 都 需要 多 花 一 些 交易 费 ， 这 会 增加 一 
点 成 本 。 人 第 二 个 缺点 是 ， 矿 工具 会 验证 作为 底层 基础 的 比特 币 的 有 效 性 ， 但 不 
会 去 验证 染色 币 的 有 效 性 。 如 果 想 要 验证 一 个 染色 币 的 有 效 性 ， 你 必须 亲自 去 
得 证 它 所 有 的 历史 记录 ， 或 是 委托 第 三 方 来 帮 你 完成 。 We 不 同 于 一 般 的 比 
特 币 ， 用 户 不 能 使 用 一 个 轻 量 级 的 简单 支付 验证 客户 端 。 这 就 使 得 类 似 手 机 这 
种 有 计算 性 能 限制 的 设备 ， 在 使 用 染色 币 时 变 得 非常 困难 。 
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染色 币 的 用 途 和 智能 资产 
一 个 经 常 被 引用 的 智能 资产 用 途 就 是 公司 股票 。 一 个 想 要 用 染色 币 来 发 行 

股票 的 公司 ， 需 要 公布 一 个 发 行 地 址 和 规则 ， 通 过 这 个 地 址 发 行 的 染色 比特 币 
代表 了 公司 的 股票 。1 聪 比特 币 就 可 能 代表 公司 的 1 股 。 股 票 持 有 者 就 可 以 在 区 
块 链 上 交易 股票 ， 而 不 需要 一 个 像 股 票 交 易 所 这 样 的 中 央 媒 介 。 当 然 ， 股 票 持 
有 者 必须 信任 公司 对 这 种 股权 的 认可 。 例 如 ， 办 司 斑 诺 扫 明和 栓 股 赤 村 入 记 前 股 
息 或 者 授权 股东 对 公司 决策 有 比例 性 的 投票 权利 。 传 统 股票 是 通过 法 律 规定 来 
保障 的 ， 截 至 2015 年 ， 染 色 币 或 者 其 他 基于 区 块 链 的 资产 还 没有 获得 任何 一 
司法 机 构 的 认可 

物理 特性 。 另 一 个 可 能 的 用 途 是 ， 染 色 币 可 以 代表 现实 世界 中 的 一 些 资 
产 。 比 如 ， 一 个 染色 币 可 以 代表 一 处 房产 或 者 一 辆 汽车 。 你 所 拥有 的 一 辆 高 
级 轿车 可 以 和 一 个 在 区 块 链 上 的 特定 的 染色 币 关 联 ， 然 后 持 有 这 个 染色 币 的 
人 可 以 用 它 来 启动 和 四 驶 这 辆 车 。 当 你 要 卖 这 辆 车 的 时 候 ， LN 
使 用 权 的 时 候 ， 你 只 要 在 区 块 链 里 简单 地 执行 一 个 单 笔 交 易 。 在 第 11 章 ， 我 
们 将 探讨 在 技术 上 如 何 实现 这 个 功能 ， 以 及 一 些 可 能 会 遇 到 的 社会 和 法 律 上 
的 障碍 。 但 是 ,由 于 其 具备 了 智能 特性 ,我们 的 梦想 是 让 现实 世界 中 任何 有 
形 资 产 都 可 以 用 染色 币 来 代表 ， 并 且 资 产 的 转让 或 交易 就 像 比特 币 的 转让 或 
交易 一 样 容易 。 

域名 。 最 后 一 个 例子 是 ， 使 用 染色 币 来 完成 一 些 现 有 域名 系统 的 功能 : 登 
记 和 转让 拥有 权 ， 关 联 域名 和 IP 地 址 。 域 名 市 场 有 许多 有 意思 的 特征 ， 其 中 之 
一 是 它 有 无 数 可 能 的 域名 。 根 据 域名 名 字 是 否 方便 记忆 以 及 其 他 因素 ,域名 有 
者 不 同 的 价值 ; 同样 ， 对 于 不 同 的 人 ， 一 个 域名 可 能 有 完全 不 同 的 意义 。 我 们 
可 以 用 当 色 币 来 处 理 域名 登记 和 其 他 相关 功能 。 事 实 上， 有 一 个 另类 币 就 是 为 
这 个 目的 而 设计 的 ， 叫 作 域名 币 (Namecoin) ， 我 们 会 在 第 10 章 中 做 具体 讨论 。 


D 2016 年 3 月 ,美国 在 线 零售 商 Overstock 已 经 获得 了 美国 证 券 交 易 委员 会 (SEC) 的 批准 ， 通 过 比 
特 币 区 块 链 技术 发 行 100 万 股 新 股 译 者 注 
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每 个 方法 都 有 自己 的 独特 优势 ， 染 色 币 可 以 获得 比特 币 区 块 链 的 安全 保护 ; 而 
另类 币 可 以 相对 容易 地 部 署 域名 登记 、 转 让 、 关 联 IP 等 复杂 逻辑 。 


9.3 多 方 参与 的 安全 博彩 系统 


我 们 现在 来 讨论 一 下 如 何在 比特 币 里 举行 一 个 “ 掷 便 而” 的 游戏 。 首 先 看 
一 下 ， 在 线 下 是 如 何 建立 这 个 系统 的 。 

爱丽 丝 和 鲍 动 想 要 下 一 个 5 美元 的 赌注 。 他 们 在 下 注 之 前 商量 好 了 游戏 规 
则 。 饱 勃 往 空中 扔 一 个 硬币， 爱丽 丝 在 硬币 落地 之 前 叫 出 “ 正 ” 或 “ 反 ” 面 。 
当 便 币 落 地 的 时 候 ， 可 以 立即 判断 谁 是 万 家 。 双 方 都 知道 这 个 结果 有 足够 的 随 
机 性 ， 他 们 之 中 任何 一 人 部 没有 办 法 影响 结果 。 

为 了 使 双方 相信 这 个 游戏 是 公平 的 ， 游 戏 的 步骤 顺序 以 及 硬币 的 特性 至 关 
重要 。 但 上 述 设 计 有 一 个 缺陷 ， 就 是 他 们 二 人 都 必须 同时 在 场 ， 而 且 相 信和 对 方 
会 愿 周 服 输 。 在 线 上 ， 我 们 也 想 设 计 一 个 同样 “公平 ”的 博彩 系统 ， 同 时 确保 
输家 也 会 愿 赌 服输 。 

初 看 起 来 ， 这 个 应 用 有 些 吝 怪 ， 并 且 有 局 限 性 ， 并 不 值得 次 和 研究。 非常 
有 意思 的 是 ,一 个 基于 比特 币 的 在 线 博彩 系统 中 本 聪 之 骨 , 已 经 被 证 明 非 常 受 
欢迎 ， 但 它 并 未 末 用 上 述 设计 模式 ,而 是 依赖 于 某 一 方 的 信用 ,但 它 时 不 时 地 
圳 括 了 大 部 分 比特 币 网 络 上 的 交易 量 。 

我 们 想 人 研究 这 种 加 密 数 字 货 币 的 “ 撕 硬 币 ” 系 统 的 真正 原因 是 ， 如 果 我 们 
可 以 据 此 设计 一 个 安全 协议 的 话 ， 也 可 以 用 这 个 技术 来 设计 其 他 有 趣 和 有 用 的 
协议 。 密 码 学 专家 人 研究 “多 方 参与 的 安全 计算 ”， 也 就 是 说 多 个 互相 不 信任 的 参 
与 背 ， 每 个 主体 都 有 各 上 月 的 数据 ， 然 后 综合 各 主体 的 数据 来 共同 计算 一 个 结果 ， 
但 同时 每 个 主体 都 不 想 让 其 他 参与 者 知道 自己 的 数据 是 什么 。 想 象 一 个 类 似 的 
场 隶 ， 一 次 蓝 价 拍卖 ， 但 没有 一 个 可 靠 的 拍卖 行 。 通 常 这 些 计算 需 要 被 随机 化 ， 
来 打破 互相 之 间 的 关联 ， 最 后 ， 这 个 计算 的 结果 是 有 金融 属性 的 ， 并 且 是 不 可 
逆 移 的 。 比 如 ， 我 们 想 要 保证 中 标 者 最 后 会 付款 给 拍卖 物品 的 卖方 ， 更 进一步 ， 
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让 卖方 的 (智能 ) 资产 自动 转移 到 中 标 者 的 名 下 ， 甚 至 更 进一步 ,我 们 还 想 要 
惩罚 那些 不 守 规 和夫 的 人 。 

总 而 言 之 ， 一 个 安全 的 多 方 博彩 系统 虽然 看 起 来 向 单 ， 但 其 实 可 以 用 来 研 
一 个 非常 强大 的 系统 模式 : 各 自 都 有 敏感 数据 的 互 不 信任 的 一 群 参与 者 ， 共 
同 来 执行 一 个 程序 ,不 仅仅 是 为 了 控制 数据 ， 还 可 以 控制 与 之 关联 的 资金 。 


在 线 掷 硬币 系统 


第 一 个 挑战 是 找到 与 “ 掷 硬币 ”相对 应 的 线 上 的 相关 方法 。 假 设 我 们 有 三 个 
参与 者 : 爱丽 丝 、 鲍 勃 和 卡 罗 尔 ， 大 家 都 想 以 相同 的 概率 来 选择 一 个 号 码 1、 
3。 我们 尝试 以 下 协议 : 每 个 人 选择 一 个 大 的 随机 数 ， 比 如 爱丽 丝 选 、 怨 过 选 y、 
卡 罗 尔 选 z， 然 后 互相 告知 各 自 的 随机 数 ， 并 共同 计算 结果 (x +y+z)%3。 

如 果 他 们 都 是 完全 独立 地 选择 随机 数 的 话 ， 这 个 方法 是 可 行 的 。 但 请 记 住 
这 是 在 互联 网 上 ， 没 有 办 法 可 以 限制 他 们 绝对 地 “同时 ”送出 数据 。 爱 丽 丝 可 
能 会 等 到 鲍 勃 和 卡 罗 尔 送出 随机 数 之 后 再 发 布 她 的 数据 。 这 样 一 来 ， 她 可 以 轻 
吻 地 操纵 这 个 计算 的 结果 。 我们 没有 办 法 设计 出 一 个 数据 交换 协议 ， 它 可 以 让 
大 家 都 相信 没有 人 会 作弊 。 

为 了 解决 这 个 问题 ， 我 们 还 是 要 回 到 师 数 约定 。 首 先 ， 每 一 个 人 选 一 个 大 
的 随机 数 ， 并 发 布 它 的 哈 希 图 数值 ; 然后 ， 每 个 人 披露 各 自 所 选 的 数字 ; 接着 ， 
其 他 两 个 人 查证 这 个 被 披露 的 苑 数值 和 在 第 一 步 发 表 的 数据 是 否 正 确 ; 最 后 
计算 这 个 三 个 随机 数 的 结果 ， 如 下 : 


一 回合 : 
者 选择 一 个 大 的 任意 字符 串 。 爱 丽 丝 选 x， 鲍 勃 选 v， 卡 罗 尔 选 z 


第 

每 个 参与 

每 个 参与 者 发 布 对 应 的 哈 希 函数 值 H (x)、H (y)、H (z) 
每 个 参与 


个 者 验证 日 (x)、H (y)、H (z) 有 具有 明显 的 差异 性 (否则 放 
齐 这 个 协议 )， 

第 二 回合 ， 

三 个 参与 者 分 别 披露 他 们 所 选 的 字符 串 x、y 和 z， 
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每 个 参与 者 查证 这 些 字符 串 是 否 与 第 一 回合 里 发 布 的 函数 值 相 吻 合 。 
最 后 的 输出 是 (x+y+z)%3 


这 种 数据 协议 之 所 以 能 成 功 是 因为 以 下 因素 : 第 一 ， 因 为 男 数 的 输入 x，y， 
z 是 大 的 任意 数 ， 没 有 人 可 以 在 第 一 回合 之 后 预测 其 他 人 的 输入 ; 第 二 ， 如 采 爱 
丽 丝 按 照 规则 任意 地 选择 她 的 输入 ， 她 可 以 相信 ， 不 管 鲍 台 和 卡 罗 尔 是 否 选择 
了 随机 数 ， 最 后 的 输出 结果 也 是 随机 的 . 


公平 性 
要 是 有 人 不 披露 约定 怎么 办 ”在 这 个 协议 的 第 二 回合 里 ， 假 设 卡 罗 尔 一 直 
等 到 爱丽 丝 和 饱 勃 披露 他 们 的 秘密 随机 数 ， 然 后 ， 在 披露 之 前 ， 意 识 到 她 会 输 


掉 这 一 局 ， 她 就 有 可 能 拒绝 公布 她 的 随机 数 一 一 她 可 以 说 她 和 已 记 了 或 是 假 骤 下 
线 。 爱 丽 丝 和 鲍 勃 可 能 会 怀疑 ， 但 他 们 也 没有 什么 好 的 办 法 去 追查 。 

我 们 所 要 做 的 是 立 下 一 个 规矩 : 参与 者 厂 是 做 出 承诺 ， 则 必须 在 一 定 的 时 
间 内 披露 所 选 的 随机 数 。 在 密 公 学 里 ， 这 个 特性 叫 作 公平 性 。 比 特 币 提供 了 一 
个 非常 好 的 解决 方法 。 

比如 爱丽 丝 想 要 做 出 一 个 有 时 限 的 约定 承诺， 但 鲍 动 是 唯一 对 此 有 顾虑 的 。 
第 一 ， 爱 丽 丝 先 设 置 一 定 的 保证 金 ， 比 特 币 文 出 交易 的 脚本 可 以 用 来 规定 ， 这 
笔 保证 金 只 能 用 以 下 两 种 支付 情形 : 第 一 种 支付 情形 是 必须 同时 有 爱丽 丝 和 鲍 
邢 两 人 的 共同 签名 ; 第 二 种 文 付 情 形 是 只 要 爱丽 丝 披 露 了 她 的 随机 数 ， 以 后 消 
费 这 笔 交 务 ， 就 只 需要 有 爱 扩 丝 的 签名 。 如 果 爱 丽 丝 所 选择 的 随机 字符 串 是 x， 
那么 和 输出 脚本 (ScriptPubkey) 会 包括 蛤 希 晴 数 日 (x) 的 值 。 

接 下 来 ， 爱 丽 丝 和 鲍 勃 会 同时 签 下 一 个 交易 ， 把 这 个 保证 金 支 付 给 饱 勃 
(两 种 情形 之 一 ) 。 但 为 什么 爱丽 丝 会 同意 这 样 做 呢 ? 这 个 交易 带 有 一 个 nLock- 
Time 值 来 保障 鲍 勃 不 能 在 时 间 点 1 之 前 来 赎 取 保证 金 。 因 为 ， 在 此 时 间 之 前 ， 
爱丽 丝 只 娄 愿 意 披露 她 的 约定 随机 值 ， 她 就 可 以 赎 回 这 个 保证 金 ， 所 以 她 的 这 
个 签名 交易 是 安全 的 。 见 图 9. 5 。 

如 来 爱丽 丝 在 弃 局 之 前 没有 披露 她 的 约定 随机 数值 ， 那 么 鲍 孝 就 可 以 在 时 
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scriptPubKey: 
Op IF 
<AlicePubKey> OP CHECKSIGVERIFY <BobPubKey> OP_CHECKSIG 
OP ELSE 
<AlicePubKey> OP CHECKSIGVERIFY OP_HASH <H(x)> OP_EQUAL 
OP_ENDIF 


scriptSig for Case 1: 

<BobSignature> <AliceSignature> 6 
scriptSig for Case 2: 

x <AliceSignature> 1 


图 9.5 在 有 了 时限 的 哈 希 函数 约定 中 使 用 输出 脚本 和 输入 脚本 的 交易 输出 


间 点 ! 之 后 赎 取 该 保证 金 。 没 有 人 通 迫 爱丽 丝 披露 她 的 随机 数 ， 但 如 果 她 不 披 
露 ， 她 会 因此 失去 预 设 的 保证 金 

我 们 如 何 用 这 个 有 时 限 的 函数 约定 来 实现 安全 的 博彩 系统 ?其实 ， 架 构 和 
之 前 几乎 一 样 ， 差 别 在 于 ,我 们 不 再 采用 简单 的 函数 约定 ,而 是 采用 有 了 时限 的 
了 滑 数 约定 。 任 何 一 方 ， 要 赎 回 这 笔 保证 金 就 必须 把 正确 的 随机 数值 x 披露 出 来 : 
如 果 在 最 后 期 限 到 来 时 还 不 披露 出 他 的 随机 数值 ， 就 会 放弃 他 的 保证 金 ， 以 用 
来 补偿 其 他 两 个 玩家 。 

可 以 在 比特 币 系 统 上 实施 这 个 博彩 系统 。 但 这 个 系统 有 些 复杂 ， 而 且 有 时 
限 的 函数 约定 还 要 求 多 个 非 标准 的 交易 。 当 系统 里 有 mn 个 玩家 的 时 候 ， 由 于 每 
个 玩家 部 要 设置 一 笔 保证 金 ， 我 们 需要 ni 个 约定 ， 此 外 玩家 们 还 不 得 不 投入 比 
全 部 赌注 更 多 的 资金 用 来 托管 保证 金 。 但 对 于 参与 者 较 少 的 游戏 来 说 ， 这 是 合 
理 的 ， 并 且 有 更 好 的 效率 。 最 重要 的 是 ， 这 个 游戏 验证 了 本 来 认为 不 可 能 的 数 
据 交 换 协议 ， 比 如 在 线 掷 虚拟 硬币 ， 并 对 不 遵守 规则 的 玩家 进行 惩罚 ， 在 比特 
币 的 世界 里 是 可 以 做 到 的 。 


9.4 比特 币 作 为 一 个 公共 的 随机 源 


在 上 一 节 ， 我 们 展示 了 一 群 人 如 何 选择 一 个 公平 的 随机 数 。 在 这 一 节 里 ， 
我 们 将 讨论 如 何 用 比特 币 来 产生 一 个 对 任何 人 都 公平 的 公共 随机 数 。 为 什么 我 
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们 需要 一 个 公共 随机 数 ? 让 我 们 先 看 一 下 几 个 现实 中 已 经 存在 的 依赖 公共 随机 
数 的 案例 。 


NBA 新 人 选秀 

其 中 一 个 例子 就 是 每 年 春天 的 美国 NBA 联赛 的 新 人 选秀 大 乐 透 。NBA 联 
盟 中 所 有 的 30 支 球 队 聚 集 在 一 起 ， 根 据 上 赛季 每 个 球 队 的 绩 季 排名 增加 相应 
的 权重 ， 随 机 选择 球 队 选 秀 顺 序 。 在 1985 年 ， 联 盟 首次 采取 这 种 方法 进行 选 
秀 ， 乐 透 选秀 的 过 程 通过 电视 现场 直播 ， 包含 球 队 名 字 的 信封 在 一 个 透明 的 
转盘 里 被 充分 打 乱 ， 委 员 会 专员 随后 去 挑选 这 些 信 封 。 因 为 纽约 尼克 斯 
(Knicks) 队 获 得 了 当年 的 状元 秀 中 锋 帕 特 里 克 '， 尤 因 (Patrick Ewing) ， 最 终 
尤 因 也 确实 成 为 NBA 名 人 和 党 的 一 员 ， 当 时 这 个 乐 透 的 产生 引起 了 不 小 的 争 
以 。 由 于 那 次 的 乐 透 发 生 在 纽约 ， 其 他 球 队 的 球迷 宣称 整个 过 程 被 人 操纵 ， 
并 偏向 尼克 斯 队 . 

有 很 多 有 关 NBA 是 如 何 操纵 选秀 过 程 的 阴 评 论 ， 比 如 著名 的 “ 折 角 ” 论 
(“bent corner”theory) 是 说 包含 有 尼克 斯 的 信封 有 一 个 角 被 故意 折 弯 了 ， 这 样 
委员 会 专员 通过 触摸 就 可 以 分 辨 出 哪个 信封 是 尼克 斯 的 。 另 外 一 个 论调 是 说 尼 
克 斯 的 信封 之 前 被 放 在 了 冷冻 室 里 ， 这 样 专员 可 以 通过 选择 一 个 手感 比较 冷 的 
信封 来 挑选 出 尼克 斯 队 ， 这 些 论调 都 反映 了 一 个 事实 ， 这 种 类 型 的 选择 要 做 到 
绝对 公平 是 非常 困难 的 ， 有 很 多 合乎 推理 的 作 油 空间 ， 想 象 一 下 一 个 职业 磨 术 
师 的 巧 手 可 以 做 些 什么 ! 直到 今天 ， 选 秀 乐 透 每 年 都 会 举行 ， 但 每 一 次 都 充斥 
着 各 种 阴谋 论 和 谣言 ， 以 说 明 选 秀 并 不 是 绝对 公平 的 ， 


美国 军队 选秀 

万 一 个 更 加 严肃 的 案例 是 1969 年 的 美国 征兵 选秀 ， 用 于 决定 哪些 年 轻 人 会 
去 参 苗 ， 大 部 分 被 选中 的 人 事后 都 被 派 去 参加 了 越南 战争 。 同 样 使 用 了 一 个 类 
似 于 NBA 选秀 的 方法 ， 由 美国 国会 派出 的 代表 来 主持 选秀 并 通过 电视 直播 (如 
图 9.6)。 他 们 在 一 个 大 的 塑料 桶 中 放 了 很 多 小 球 ， 每 个 小 球 包 含 了 一 个 数字 ， 
然后 轮流 从 桶 中 把 这 些 数字 小 球 取出 来 ,根据 数字 所 代表 的 生日 来 决定 优先 级 ， 
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图 9.6 1969 年 (越战 ) 军队 选秀 


根据 这 个 优先 级 挑选 合格 的 年 轻 人 参 车 。 

1969 年 的 这 次 征兵 选秀 ， 是 自 ee 于 内 采用 乐 透 方式 进行 选秀 。 其 
目的 是 通过 避 开 数 以 千 计 的 本 地 征兵 委员 会 ， 以 使 选拔 过 程 更 加 公平 ， 并 且 回 

公众 公开 这 个 过 程 。 但 遗憾 的 是 ， 这 个 选秀 乐 透 也 淘 仔 了 ， 不 到 一 个 星期 ， 概 

率 专家 通过 数据 调查 分 析 注 意 到 了 一 个 特别 的 醒 式 〈 如 图 9.7 所 示 ) : 出 生 于 下 
半年 的 人 被 选中 的 优先 级 较 低 。 虽 然 这 种 差异 非 彰 细微， 但 是 从 概率 统计 上 是 
非常 显著 的 ， 说 明 这 不 太 可 能 是 偶然 事件 。 当 他 们 回 看 现场 录像 的 时 候 ， 发 现 
每 次 转动 转盘 的 次 数 恰恰 者 是 介 数 次 ， 这 意味 着 一 开始 是 上 层 的 小 球 有 较 大 的 
概率 一 二 留 在 上 层 ， 说 明 为 了 形成 随机 抽签 的 混合 程序 并 不 充分 。 

这 两 个 案例 都 证 明了 ， 设 计 一 个 公众 认可 的 随机 过 程 并 由 此 产生 一 个 认可 
的 公共 随机 数 ， 是 十 分 困难 的 。 无 论 你 采用 什么 方法 ， 总 有 人 怀疑 你 作弊 。 反 
险 在 于 : 这 个 随机 过 程 可 能 会 被 操作 更 这 个 过 程 是 真正 随机 的 , 但 公 
并 不 信任 它 。 





D 所 以 一 个 公平 的 不 受 操纵 的 公共 随机 源 是 一 个 公共 福 社 ， 而 比特 币 可 以 做 到 这 一 点 ， 因 为 它 是 并 
中 心 化 的 。 一 一 译 者 注 
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图 9.7 1969 年 征兵 选秀 的 概率 统计 偏差 
注 : x 轴 代表 日 期 ，y 轴 代 表 选 秀 号 码 。 


密码 学 “信号 塔 

由 于 成 本 低 ， 并 且 大 众 易于 理解 ， 用 转盘 、 抛 硬币 、 掷 仍 子 等 方法 去 展示 
公开 随机 性 ， 在 历史 上 一 下 比较 普遍 。 但 是 这 些 方法 非常 难以 审计 ， 因 此 并 不 
适用 于 大 范围 的 场景 。 即 使 整个 过 程 从 视频 上 看 起 来 是 合法 的 ， 人 们 也 有 理由 
去 怀疑 乐 透 的 执行 者 可 以 使 用 “魔术 师 之 手 ” 去 操纵 结果 。 

那么 ， 通 过 密码 学 的 办 法 ， 我 们 是 否 可 以 做 得 更 好 ?这 里 ,我 们 用 密码 学 
“信号 塔 ”( cryptographic beacons) 来 特 指 一 个 提供 公共 随机 源 的 服务 。 我 们 的 
想法 是 “信号 培 ” 会 源源 不 断 地 在 一 个 固定 的 频率 产生 随机 数 ， 并 且 没 有 人 可 
以 预测 这 些 随机 数 。 只 要 大 家 同意 这 一 点 一 一 没 人 可 以 预测 这 个 信和 号 塔 的 下 一 
个 输出 ， 那 么 大 家 就 都 可 以 相信 其 生成 的 是 一 个 真正 的 随机 数 。 

一 个 完美 的 密码 学 信号 塔 可 以 服务 于 各 种 公开 乐 透 项 目 ， 比 如 上 面 两 个 例 
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子 。 如 果 你 想 要 在 本 地 的 俱乐部 玩 一 个 宾 果 (Bingo) 游戏 J， 你 再 也 不 需要 用 
一 个 大 的 转盘 来 产生 随机 性 了 。 只 要 每 个 人 都 信任 信号 塔 ， 就 不 要 用 物理 的 方 
法 来 展示 随机 性 了 ， 这 会 省 去 很 多 麻烦 。 

密码 学 专家 提出 了 很 多 其 他 的 公共 随机 源 的 应 用 方案 ， 包 括 投票 系统 、 和 零 
知识 验证 、 分 割 选择 协议 等 。 如 果 你 有 一 个 完美 的 密码 学 信号 塔 ， 其 中 很 多 方 
案 都 会 变 得 非常 简单 有 效 。 但 遗憾 的 是 ， 截 至 目前 ,我们 还 没有 找到 一 个 完美 
的 方案 去 打造 这 样 一 个 信号 培 


NIST 信号 塔 

NIST， 即 美国 国家 标准 与 技术 人 研究 了 所 (National Institute of Standard and 
Technology) 。 从 2011 年 开始 ，NIST 运行 了 一 个 它们 目 己 的 信号 塔 服务 。 它 们 声 
称 用 了 一 个 非常 复杂 的 实验 室 站 置 来 产生 随机 数 ， 其 至 动用 了 两 个 纠缠 态 光 子 。 
由 于 随机 数 是 由 量子 力学 现象 产生 的 ,那么 理论 上 这 个 效 字 可 以 保证 非常 强 的 
随机 性 。 如 果 你 认可 海 条 堡 不 确定 性 原理 〈Heisenberg uncertainty principle ) 和 
其 他 一 些 被 广泛 接受 的 物理 学 原理 ， 那 么 你 就 会 相信 这 个 信号 塔 产生 的 数 是 真 
正 随机 的 ， 并 且 不 可 预测 。NIST 信号 塔 服务 可 以 每 60 秒 产 生 一 个 附 市 有 数据 签 
名 的 随机 数 ， 并 提供 一 个 非常 便 利 的 程序 接口 一 一 服务 可 以 通过 网 页 来 访问 并 
返回 随机 数 。 

从 采种 意义 上 说 ，NIST 信号 塔 代 表 了 从 物理 上 展示 随机 性 的 极限 ， 但 无 法 
解决 一 个 基本 的 信任 问题 一 一 你 必须 信任 NIST 确实 是 通过 它们 所 宣称 的 这 些 程 
序 来 产生 随机 数 的 ， 你 必须 信任 在 马里 兰州 的 芭 一 个 建筑 里 面 ，NIST 确实 用 它 
们 的 实验 室 来 产生 这 些 随机 数 ， 而 不 是 伪造 的 ， 你 还 必须 信任 它们 确实 没有 能 
力 故意 重 写 其 中 一 些 随机 数 。 





打造 一 个 信号 塔 的 其 他 潜在 方法 : 自然 现象 
我 们 是 否 可 以 使 用 一 些 每 个 人 都 可 以 观测 到 的 自然 现象 来 实现 信号 塔 ? 


D Bingo 是 一 种 填写 格子 的 游戏 ， 在 游戏 中 第 一 个 成 功 者 以 喊 “Bingo” 表 示 取 胜 而 得 名 .一 一 译 
者 注 
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或 者 我 们 可 以 使 用 天 气 的 一 些 细节 ， 比 如 在 某 天 某 个 特定 地 点 的 温度 ， 或 者 
是 风力 的 强度 ， 或 者 是 否 会 下 雨 。 当 然 ， 我们 有 能 力 去 提前 预测 天 气 ， 但 是 
预测 的 结果 并 不 是 非常 精确 ， 所 以 我 们 可 以 使 用 这 些 测 量 值 的 “最 低 有 效 
位 ”。 但 是 这 个 方法 也 有 局 限 性 ， 那 就 是 需要 所 有 的 参与 者 在 同一 个 地 点 做 同 
样 的 测量 。 

为 了 避免 这 个 问题 ， 我 们 可 以 利用 太阳 黑子 ， 一 种 太阳 表面 的 爆发 活动 
( 见 图 9.8)。 为 外 一 个 例子 是 宇宙 背景 辐射 ， 通 过 广播 天 线 ， 你 可 以 从 地 球 上 
的 任意 一 点 都 可 以 监测 到 这 个 数据 ， 而 且 每 个 人 都 可 以 读 取 到 同样 的 数值 。 
ia 很 容易 回 公 众 证 明 没 有 二 ym 

象 一 下 ， 茶 人 穿越 衬 宙 到 达 太 阳 表 面 ， 然 后 用 某 种 办 法 去 影响 太阳 黑子 现象 ， 
而 站 定 的 祝 训 是 芍 下 呆 纵 地 球 上 的 未 个 乐 透 项 目 ， 这 显然 是 不 现实 的 。 所 以 上 
述 这 些 方 法 都 有 很 好 的 特性 : 公众 可 观测 性 、 可 防止 被 操纵 性 ， 以 及 一 个 可 接 
受 的 不 可 预测 性 。 





图 9.8 NASA 太阳 黑子 照片 


但 上 述 这 些 方法 都 有 一 个 共同 的 问题 ， 就 是 生成 随机 数 太 慢 了 。 例 如 ， 如 
朱 随 机 信号 是 当日 最 高 温度 ， 那 么 你 每 天 天 只 能 交友 次 这 样 的 数 介 太阳 表面 
也 不 是 经 贡 变 化 ,在 很 多 密码 学 应 用 中 ， 随 机 数 通常 作为 伪 随 机 数 发 生 咒 
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( Pseudo-Random Generator， 简 称 PRG) 的 输入 ， 从 安全 角度 考虑 ， 这 些 输入 通 
常 需要 达到 80 比特 位 长 度 ， 甚 至 更 多 ， 但 如 果 以 天 气 或 者 天 文学 为 效 据 源 ， 那 
我 们 可 能 需要 很 长 时 间 才 能 积累 到 80 位 长 度 的 随机 数 。 

另外 ， 观 测 太阳 黑子 现象 这 种 方法 还 需要 专业 技能 ， 所 以 你 还 需要 依赖 一 
些 可 信任 的 专业 观测 者 来 获取 这 些 测量 数据 。 由 于 有 很 多 这 样 的 可 信任 的 观测 
者 ， 我 们 也 希望 他 们 “互相 之 间 有 诚信 ”。 信 和 号 塔 的 应 用 者 ， 或 者 说 是 这 些 应 用 
的 用 户 ， 可 以 随时 选择 并 替换 观测 者 。 这 个 特性 被 称 为 “信任 的 敏捷 性 ”， 相 比 
于 NIST 是 提供 信号 塔 服务 的 单一 机 构 ， 这 个 特性 更 加 优越 。 

还 有 更 深层 次 的 问题 ， 虽 然 这 个 问题 看 起 来 可 能 微不足道 ， 那 就 是 ， 我们 
是 否 可 以 找到 一 个 方法 ， 它 可 以 使 一 个 现实 世界 的 观测 数据 一 一 例如 温度 、 太 
阳 黑 子 图 一 一 转变 为 一 个 数据 字符 串 ， 并 且 它 还 需要 保证 每 一 个 观测 者 都 获得 
相同 的 字符 串 ? 我 们 可 以 和 尝试 数字 化 这 个 观测 数据 : 比如 ， 我 们 用 华氏 度 来 描 
述 温度 ， 并 使 用 第 一 个 十 进 制 数位 作为 信号 塔 的 输出 ,但 是 除非 每 一 个 观测 者 
的 温度 计 都 是 不 可 思议 的 精准 ， 否 则 就 会 出 现下 面 的 情形 ， 有 些 观测 者 读 取 的 
温度 (比如) 是 62.7， 而 为 外 一 些 人 读 取 的 则 是 62.8。 目 前 看 来 ， 不 管 我 们 选 
择 哪 种 目 然 现象 或 者 采用 哪 种 协议 ， 我 们 都 会 遇 到 这 种 “极端 情况 ”。 对 于 一 个 
密码 学 信号 塔 ， 即 使 测量 值 出 现 非 连续 性 的 可 能 性 非常 小 ， 那 也 是 无 法 接受 的 ， 
因为 这 有 可 能 使 得 PRG 产生 的 随机 数 变 得 完全 不 同 。 


金融 数据 

还 有 一 个 类 似 的 想法 是 使 用 金融 数据 作为 数据 源 ， 比 如 股票 市 场 价格 指数 。 
同样 ， 这 些 是 公开 的 可 观测 的 数值 ， 而 不 像 自 然 现象 ， 这 些 金融 数据 本 身 就 是 
用 数字 来 呈现 的 ， 所 以 不 会 因为 观测 者 不 同 ， 产 生 数 据 不 一 致 的 问题 ; 同时 ， 
我 们 有 很 好 的 理由 相信 ， 股 票 价格 的 小 波动 是 很 难 预测 的 : 如 果 你 可 以 预测 纽 
约 证 区 所 东 一 只 股票 的 交易 价格 ， 并 且 精 确 到 美 分 级 别 ， 你 就 会 成 为 一 个 非常 
赚钱 的 日 内 交易 员 。 某 些 人 可 以 通过 买卖 股票 ， 去 操纵 股票 价格 到 某 一 个 特定 
的 数值 ， 但 这 需要 巨大 的 成 本 。 

但 是 ， 这 种 方法 也 需要 依赖 某 一 个 信任 方 ， 比 如 股票 交易 所 。 即 使 股票 交 
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易 所 本 身 有 很 强 的 意愿 去 建立 自己 的 诚信 ， 但 如 果 让 它们 操纵 一 个 非常 有 利 可 
图 的 乐 透 ， 那 么 它们 就 有 可 能 去 尝试 改变 股票 价格 (例如 ， 通 过 插入 目 己 的 关 
卖 单 ) 。 

截至 目前 讨论 的 方法 ， 似 乎 很 难 去 规避 信任 方 的 问题 ， 而 这 个 信任 方 却 是 
可 以 在 整个 过 程 中 的 某 些 关 键 环 节 对 结果 施加 重要 影响 的 。 


用 比特 币 作 为 一 个 “信号 塔 

幸运 的 是 ， 把 中 央 权 威 从 数据 交换 协议 中 剥离 出 来 ， 在 之 前 认为 几乎 是 不 
可 能 的 任务 ， 而 比特 币 是 很 有 希望 实现 这 一 任务 的 技术 ， 而 这 也 是 本 书 的 中 心 
思想 之 一 。 我 们 是 否 可 以 把 比特 币 作 为 一 个 生成 随机 数 的 “信号 塔 ” 呢 ?我 们 
想 要 从 比特 币 的 区 块 链 里 摘 取 随 机 数 ， 与 此 同时 保留 比特 币 所 有 去 中 心 化 的 特 
点 ， 正 是 这 些 特点 使 比特 币 如 此 吸引 人 。 

我 们 回忆 一 下 ， 矿工 必须 计算 大 量 的 随机 哈 希 吗 数 来 找到 一 个 有 效 区 块 。 
或 许 这 意味 着 没有 人 可 以 不 经 过 控 矿 工作 就 能 预测 或 是 影响 下 一 个 区 块 的 生成 。 
当然 ， 任 何 一 个 区 块 的 哈 希 函数 结果 的 最 初 几 个 字 节 都 是 零 ， 但 是 在 合适 的 假 
设 下 ， 唯 一 可 以 预测 剩余 位 数 的 比特 值 的 方法 可 能 是 找到 一 个 胜出 有 效 区 块 ， 
然后 选择 性 丢弃 它 ( 见 图 9.9)。 





| 1 
|| Prev: Ht ) I 
| | 
1| mrkl_root: HA ) | 
| | 
|| nonce: 0 xf77e... | 

TS TYT 1 

eo NTTT 
bash Wl 
| wo ee NAN 





01010001 10101000 10010100 


图 9.9 比特 币 像 灯塔 一 般 
注 : 我 们 可 以 通过 使 用 随机 提取 功能 ， 提 取 公 共 随 机 数据 ， 标 注 区 块 链 上 的 各 个 区 块 。 
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这 样 一 来 ， 把 区 块 链 变 成 一 个 随机 数 “ 信 号 塔 ” 成 了 一 件 务 单 的 事 。 在 区 
块 链 上 的 每 一 个 区 块 上 ， 我 们 在 区 块头 部 设置 一 个 “随机 数 抽取 需 ”。 随 机 数 抽 
取 器 ， 其 实 就 是 一 个 哈 硕果 数 ， 这 个 哈 硕果 数 把 所 有 的 输入 随机 科 均 习 地 压 纺 
成 一 个 随机 字符 串 。 每 次 只 要 发 表 一 个 区 块 ， 我 们 就 有 了 一 个 新 的 随机 信号 
输出 。 


评估 比特 币 “ 信 号 塔 ”的 安全 性 

假设 你 参加 一 个 乐 透 抽奖 ， 这 个 抽奖 的 结果 是 由 未 来 将 要 产生 的 、 一 个 预 
先 设 定 的 、 位 于 高 度 pedi 出 所 决定 的 。 这 个 乐 透 抽 奖 有 N 个 参与 
者 ， 每 个 参与 者 都 下 注 了 B 个 比特 币 ， 如 果 你 也 是 一 名 矿工 ， 我 们 再 假设 ， 你 
幸运 地 找到 了 一 个 区 块 h 的 函数 解 这 的 答案 ， 你 就 可 以 选 撞 发 表 或 是 不 发 表 这 
一 区 块 。 如 果 你 不 喜欢 从 这 个 区 块 里 产生 的 抽奖 的 结果 ， 你 可 以 轻易 地 丢弃 这 
一 区 块 ， 人 然后 让 其 他 找到 这 个 区 块 的 人 来 决定 这 个 抽奖 结果 ， 但 同时 ,你 必须 
放弃 因为 找到 这 个 | Os 

让 我 们 计算 一 下 ， 下 注 的 数额 B 值 需 要 多 大 ， 才 值得 考虑 放弃 区 块 本 刁 的 
奖励 。 如 果 你 ed 了 一 个 位 于 高 度 h 的 区 块 来 决定 抽奖 的 结果 ， 人 然后 意 
识 到 ， 如 果 你 发 表 了 这 个 绪 果 ， 你 肯定 会 输 反 抽奖; 如 果 你 扔 掉 这 块 ， 你 还 是 
有 1ZN 的 概率 来 电 得 B xN 比特 币 ， 这 就 意味 看 ， 如 果 你 期 望 的 抽奖 奖励 (17 
N) xBxN 比特 币 比 控 矿 所 获得 的 25 个 比特 币 奖 励 要 大 的 话 ， 那 么 放弃 区 块 奖 
励 是 合理 的 (在 2015 年 ， 如 果 不 考虑 交易 费 的 话 ， 区 块 奖励 大 概 是 25 个 比特 
币 ) ， 所 以 如 果 B 大 于 25， 这 种 丢弃 策略 就 是 有 利 可 图 的 。 在 2015 年 中 旬 ，25 
个 比特 币 价 值 大 约 在 $ 000 美元 左右 。 所 以 如 果 每 个 玩家 下 注 不 到 5 000 美元 的 
话 ， 并 且 假 设 每 个 玩家 都 是 理智 的 ， 那么 这 个 乐 透 抽奖 是 可 以 抵抗 放弃 有 效 区 
块 这 种 攻击 的 。 

男 一 大 优点 是 这 是 一 个 完全 去 中 心 化 的 信号 源 ， 没 有 一 个 中 心 化 的 信托 方 。 
比 起 其 他 几 个 信号 源 的 方案 ， 它 的 处 理 速度 相当 快 ， 大概 每 10 分 钟 就 产生 一 个 
输出 。 然 后 通过 上 述 的 简单 模型 ， 我们 可 以 估计 一 个 攻击 者 想 要 操纵 信号 源 输 
出 所 需要 付出 的 代价 
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用 比特 币 作 为 信号 塔 办 法 的 一 个 缺点 是 ， 不 能 精确 定时 。 比 如 ， 假 设 我 们 
想 要 在 明天 正午 读 取 这 个 信号 源 的 值 ， 但 我 们 无 法 知道 哪个 区 块 在 哪个 时 点 会 
生成 最 新 的 一 个 区 块 。 虽 然 平 均 来 说 ， 在 正午 之 前 或 之 后 的 10 分 钟 内 一 定 会 有 
一 个 区 块 被 公布 ， 但 这 还 是 会 有 误差 。 如 果 我 们 想 降低 目标 区 块 在 一 个 短 分 又 
事件 中 丢失 的 可 能 性 ， 我 们 还 要 对 有 可 能 发 生 的 延迟 有 所 准备 。 在 比特 币 址 界 
里 ， 通 常情 况 下 要 等 6 个 区 块 (60 分 钟 ) 后 ， 才 能 确信 这 个 信号 值 是 真正 地 被 
确认 本。 

另 一 个 缺陷 是 ， 相 对 来 说 ， 操 纵 这 个 信号 值 所 需 的 代价 可 能 还 是 太 低 。 如 
果 我 们 用 这 个 方法 来 实行 NBA 选秀 ， 由 于 其 中 可 能 涉及 几 千 万 美元 利益 ， 球 队 
顿时 就 有 了 贿赂 矿工 来 操纵 选秀 过 程 的 动力 。 所 以 ， 当 涉及 巨额 资金 时 ， 这 个 
方法 是 否 有 效 仍 值得 探讨 。 

最 后 ,我 们 的 安全 评估 忽略 了 一 些 现实 生活 中 的 因 系 。 比 如 ， 对 于 加 入 茶 
一 个 矿 池 的 矿工 来 说 ， 于 弃 一 个 有 效 区 块 并 不 会 让 他 损失 很 多 钱 ， 因 为 他 们 是 
根据 贡献 算 力 的 比例 ， 而 不 是 区 块 来 领取 奖励 的 。 所 以 ， 比 特 币 信号 塔 目 前 还 
是 一 个 有 趣 但 没有 被 证 明 的 想法 . 


脚本 语言 对 信号 塔 的 支持 

如 果 我 们 扩展 比特 币 的 脚本 语言 功能 ， 加 入 一 个 特殊 的 操作 码 ( opcode) 
来 读 取 比特 币 信 号 呢 ? 按照 最 初 的 设计 ， 现 在 的 比特 币 脚本 语言 没有 任何 办 法 
去 实现 任何 随机 性 ， 因 为 矿工 必须 验证 脚本 ， 而 且 一 个 脚本 的 有 效 性 需要 获得 
所 有 矿工 的 认可 ， 但 如 果 我 们 用 了 信号 塔 产生 的 随机 数 ， 由 于 这 是 一 个 可 被 证 
明 的 公共 随机 数 ， 把 这 个 随机 数 加 入 交易 脚本 中 ,矿工 就 容易 随机 性 地 达成 
共识 。 

假设 我 们 有 一 个 操作 码 可 以 做 一 个 随机 的 决定 ， 这 个 决定 是 基于 上 个 区 块 
的 信号 塔 输出 的 。 我 们 可 以 把 整个 复杂 的 抽奖 数据 协议 用 一 个 脚本 来 替代 一 一 
读 信 号 塔 的 随机 数值 ， 人 然后 把 该 输出 分 派 到 n 个 密 钥 中 的 一 个 。 这 需要 有 多 回 
合 的 数据 协议 安全 保证 或 是 有 时 效 的 吨 数 约定 。 

这 个 想法 的 一 个 缺点 是 ， 为 矿工 操纵 抽奖 提供 了 可 能 性 ， 如 果 他 们 发 觉 控 
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到 的 这 一 个 区 块 里 的 交易 会 让 他 们 输 掉 这 个 抽奖 ， 他们 就 会 简单 地 将 抽奖 交 匈 
延迟 至 后 面 的 一 块 出 现 。 但 是 我 们 可 以 对 信号 塔 的 操作 码 做 一 个 小 小 的 调整 来 
防御 这 类 攻击 ， 也 就 是 说 ， 你 不 是 用 上 一 个 区 块 ， 而 是 使 用 某 一 个 特定 高 度 的 
区 块 所 产生 的 信号 塔 随机 数 。 


9.5 预测 市 场 和 真实 世界 的 数据 源 


作为 本 章 的 最 后 一 个 论题 ， 我 们 现在 来 看 一 下 如 何 利用 加 密 数 字 货 币 ， 以 
去 中 心 化 的 方式 来 实现 一 个 预测 市 场 ， 与 此 相关 ， 如 何 把 真实 世界 的 数据 导入 
比特 币 系统 。 

在 预测 市 场 中 ， 人 们 可 以 在 一 起 对 未 来 的 事件 进行 下 注 ， 比 如 体育 比赛 或 
是 选举 。 对 于 事件 发 生 的 每 一 个 结果 ， 参 与 者 可 以 买卖 和 交易 相应 的 “份额 ”。 


表 9.1 2014 年 世界 杯 期 间 球 队 选择 的 预测 表 (数字 代表 在 每 个 阶段 下 注 某 支 球 队 捧 杯 所 


需 花 费 的 美元 ) 
球 队 德国 阿根廷 巴西 美国 英格兰 衔 兰 
赛事 之 前 0. 12 0. 09 0. 22 0. 01 0. 05 0. 03 
小 组 赛 后 0. 18 0. 15 0. 31 0. 06 0. 00 0. 05 
半 决 赛 前 0. 26 0. 21 0. 45 0. 00 0. 00 0. 08 
决赛 前 0. 64 0. 36 0. 00 0. 00 0. 00 0. 00 
决赛 后 | 0 0 0 0 0 


注 : 押 注 美国 队 赢得 世界 杯 的 价格 在 美国 队 小 组 表现 出 色 后 ， 从 1 美 分 上 升 到 6 美 分 。 当 巴西 打 
进 半 决赛 后 ， 其 赌注 价格 上 升 到 了 45 美 分 ， 而 当 巴 西 队 输 掉 半 决赛 后 ， 这 份 赌注 变 得 毫 无 
价值 。 最 后 只 有 德国 队 的 赌注 才 有 价值 ， 因 为 他 们 赢得 了 冠军 。 


我 们 用 一 个 案例 来 详细 解释 一 下 预测 市 场 背 后 的 概念 ， 使 其 更 加 清晰 。 
2014 年 的 世界 杯 在 巴西 举行 ， 假 设 有 一 个 市 场 ， 你 可 以 买卖 每 个 队 的 赌注 。 最 
终 冠 军队 的 赌注 是 1 元 ， 而 其 他 队 的 都 是 0。 比 赛 开 始 之 后 ， 根 据 市 场 认为 每 个 
队 最 后 能 马 得 冠军 的 概率 ， 每 个 球 队 的 赌注 都 会 有 一 个 价格 。 表 9. 1 就 是 五 个 
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队 的 赌注 价格 情 痪 。 

在 比赛 前 ， 德 国 队 赌 注 的 交易 价格 是 12 美 分 ， 意味 着 市 场 觉 得 德国 队 大 约 
有 12% 的 机 会 获得 最 后 的 冠军 。 当 比赛 进行 的 时 候 ， 这 些 赌注 价格 会 上 下 波动 ， 
反映 了 市 场 参与 者 对 每 个 队 最 终 获 胜 的 信心 。 

在 我 们 的 案例 中 ， 英国 队 赌 注 本 来 的 交易 价 是 5 美 分 ,但 后 来 变 成 了 0， 因 
为 英国 队 没有 小 组 出 线 ， 他 们 已 经 不 可 能 取得 最 终 的 胜利 ,价格 也 相应 地 反映 
了 这 一 点 。 与 之 相反 的 是 ,美国 队 最 初 被 认为 很 难 从 小 组 出 现 , 但 是 结果 他 们 
的 小 组 赛 表 现 却 相当 不 错 ， 如 果 你 在 最 初 美国 队 赌 注 价格 非常 便 守 的 时 候 (1 
美 分 ) 买 了 它 ， 并 在 它 出 线 并 变 成 6 美 分 的 时 候 马 上 卖 出 ， 你 就 可 以 拿 回 6 信 
于 你 最 初 的 投资 ， 而 不 需要 等 到 全 部 比赛 完了 之 后 再 卖 出 。 昌 然 美 国 队 最 后 没 
有 赢得 世界 杯 ， 但 你 还 是 可 以 在 美国 队 小 组 赛 表 现 抢眼 的 时 候 ， 通 过 市 场 对 美 
国 队 的 信心 调整 来 获 利 。 

半 决 赛 的 时 候 只 剩 下 四 支队 伍 了 ， 由 于 美国 队 与 英国 队 部 被 淘汰 出 局 ， 所 
以 他 们 的 价格 都 是 零 。 每 个 剩 下 的 队 都 有 一 个 高 价位 ， 他 们 的 价格 之 和 是 1 美 
元 。 巴 西 队 价格 最 高 ， 因 为 那 时 市 场 认 为 巴西 最 有 和 布 望 属 。 当 巴西 队 输 了 半 决 
赛 的 时 候 ， 它 的 价格 马上 变 成 了 零 。 在 两 个 小 时 内 ， 市 场 对 其 信心 就 发 生 了 戏 
剧 性 的 改变 。 你 可 以 对 巴西 队 进 行 一 个 卖 空 或 者 去 买 其 他 球 队 。 

到 了 决赛 的 时 候 ， 只 剩 下 两 个 队 。 它 们 的 价格 总 和 还 是 1 美元 。 当 然 到 最 
后 ， 德 国 队 获 得 了 最 终 的 胜利 ， 也 只 有 德国 队 的 赌注 最 终 有 价值 (1 美元 ) 。 

当然 还 有 一 个 获 利 的 办 法 就 是 ， 你 在 最 初 就 以 12 美 分 的 价格 买 下 德国 队 的 
赌注 ， 然 后 一 直 持 有 到 最 后 ， 下 到 德国 队 获 胜 。 这 基本 上 是 传统 体育 博彩 的 机 
制 一 一 你 在 比赛 前 下 注 ， 然 后 在 比赛 胜利 后 收 钱 。 但 在 一 个 预测 市 场 里 ， 有 很 
多 其 他 办 法 可 以 进行 博彩 和 答 利 。 你 可 以 在 任何 时 间 对 任何 球 队 下 注 ， 你 是 否 
可 以 获 利 完全 取决 于 你 准确 地 预测 市 场 信 心 的 转变 ， 而 与 最 后 结果 无 关 。 

这 里 有 另外 一 个 案例 ， 这 次 是 一 个 完全 真实 的 预测 市 场 案 例 。 在 2008 年 美 
国 大 选 之 前 ，Lowa 电子 市 场 允 许 人 们 购买 份额 下 注 奥 巴 马 或 者 麦 凯 恩 获取 最 后 
的 大 选 胜利 。 如 图 9. 10 所 示 ， 奥 巴 马 的 价格 显示 为 实 线 ， 麦 凯 恩 的 则 是 虚线 。 
你 可 以 看 到 ， 随 着 竞选 活动 的 开展 ， 人 们 对 谁 将 最 终 获 胜 的 信心 是 波动 的 ， 但 
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是 到 了 大 选 前 的 前 一 天 ， 奥 巴 马 当选 的 概率 达到 了 90% ,在 最 终 投票 之 前 ， 预 
测 市 场 对 结果 的 预 判 基本 上 已 经 确定 了 。 


100 
— DEMO8_WTA 


80 一 一 一 REP08_WTA 


60 





图 9.10 预测 市 场 份 额 
注 : 对 于 2008 年 美国 总 统 大 选 预 测 份 额 的 价格 走势 图 
资料 来 源 : Lowa 电子 市 场 


(和 预测 市 场 的 力量 





经 济 学 家 对 预测 市 场 普遍 非常 热情 ， 关 系 到 预测 未 来 事件 的 相关 信息 通 
常 都 是 比较 分 散 的 ， 由 于 预测 市 场 提 供 了 一 个 平台 ， 每 一 个 参与 者 都 可 以 利 
用 他 们 的 相关 知识 获 利 ， 因 此 它 形成 了 一 个 非常 好 的 可 以 汇聚 这 些 信息 的 机 
制 。 在 恰当 的 经 济 模型 中 ， 股 票 的 市 场 价格 可 以 被 解读 为 最 终结 果 发 生 的 概 
率 ， 虽然 真实 的 预测 市 场 还 是 会 存在 偏差 。 根 据 经 验 来 看 ， 预 测 市 场 比 类 似 
于 投票 调查 和 专家 论坛 之 类 的 其 他 预测 方法 更 加 准确 。 

然而 ， 预 测 市 场 还 是 面临 很 多 合 规 性 方面 的 不 确定 性 和 障碍 ， 在 2013 年 
碰 到 合 规 性 问题 并 被 关闭 之 前 ，Intrade 是 美国 最 受 欢 迎 的 在 线 预测 市 场 。 许 
多 经 济 学 家 对 此 很 失望 ， 因 为 他 们 觉得 我 们 损失 了 一 个 非常 有 价值 的 可 以 揭 
示 未 来 的 社会 性 工具 。 
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去 中 心 化 的 预测 市 场 

如 何 建 立 起 一 个 去 中 心 化 的 预测 市 场 ? 我 们 必须 将 儿 个 重要 的 任务 去 中 心 
化 。 我 们 需要 一 个 方法 来 搜集 和 发 放 资 金 ， 以 使 这 个 预测 市 场 能 够 建立 ; 我 们 
还 需要 一 个 方法 来 确保 执行 正确 金额 的 资金 发 放 ; 我 们 特别 需要 一 个 去 中 心 化 
的 仲裁 机 构 ， 仲 裁 是 一 种 流程 ， 用 来 判决 哪个 结果 是 真正 发 生 的 。 大 多 数 的 体 
育 比赛 和 国家 选举 ,最 后 结果 都 显而易见 ， 谁 说 谁 输 ， 一目了然 ,但 还 是 有 许 
多 灰色 地 市 。 我 们 还 需要 把 下 单 登记 系统 去 中 心 化 管理 ， 其 实 就 是 让 参与 方 直 
接 找 到 交易 的 男 一 方 。 接 下 来 ， 我们 将 按 顺 序 来 讨论 这 些 挑战 。 

让 我 们 来 设计 一 个 假想 中 的 被 称 为 “未 来 币 ” (Futurecoin) 的 另类 币 ， 专 
为 预测 市 场所 用 。 我 们 需要 设计 一 些 交 易 类 型 实现 专 为 预测 市 场 而 设 的 功能 ， 
如 图 9. 11 所 示 。 


CreateMarket (event_id, arbitrator_ key, num_ outcomes ) 
创造 一 个 新 的 预测 ， 明 确 仲裁 者 和 参数 
BuyPortfolio (event_1d) 
为 每 个 未 来 币 的 结果 购买 一 份 赌注 
TradeShares (...) 
将 赌注 转化 为 未 来 币 
SellPortfolio (event_ld ) 
将 每 个 未 来 币 的 结果 兑现 赌注 
CloseMarket (event_id, outcome_1d) 
通过 将 特定 情境 的 押 注 所 得 转 入 一 个 新 完成 的 未 来 币 ， 并 注销 所 有 其 他 情形 的 赌注 ， 
来 结束 特定 预测 市 场 
(outcome_id 是 一 个 介 于 1 和 该 特定 输出 num_ outcomes 数 之 间 的 整数 ) 


图 9.11 未 来 币 中 的 新 交易 类 型 
注 : 未 来 币 是 一 个 实现 了 去 中 心 化 的 预测 市 场 的 假想 的 另类 币 


CreateMarket 指令 允许 任何 用 户 制造 出 一 个 针对 任何 事件 的 预测 市 场 ， 然 后 
授权 一 个 特定 的 仲裁 者 (也 就 是 一 个 公 钥 ) 来 宣布 这 个 事件 的 结果 ， 以 及 一 系 
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列 可 能 的 结果 。event_id 是 一 个 任意 的 字符 串 ， 可 以 把 不 同 的 交易 关联 起 来 指向 
同一 个 市 场 。 未 来 币 既 不 关心 event_id 特 指 哪个 实际 事件 ， 也 不 关心 结果 是 什 
么 ， 当 然 在 系统 里 也 没有 办 法 来 具体 定义 。 用 户 必须 保留 这 些 来 自 市 场 创建 者 
的 信息 (通常 这 些 创建 者 也 是 仲裁 者 ) 。 我 们 会 谈 到 这 个 仲裁 机 制 的 不 同 选项 。 


支付 和 清算 

利用 这 个 BuyPortfolio 指令 交易 ， 你 可 以 对 不 同事 件 的 预测 组 合 进行 投资 下 
注 。 以 未 来 币 作 价 ， 你 可 以 购买 每 个 事件 可 能 发 生 的 预测 结果 。 比 如 ,我们 下 
注 2014 年 的 世界 杯 ，32 个 参赛 队 都 有 可 能 赢 。 你 可 以 用 一 个 未 来 币 购买 32 个 
份额 ， 每 个 队 一 个 份额 一 一 因为 最 终 只 有 一 个 队 会 赢 ， 这 些 份额 的 总 价格 就 是 
一 个 币 。 任 何 一 个 参与 者 都 可 以 单方 面 地 创建 一 个 BuyPortfolio 指令 而 无 须 一 个 
对 手 交 易 。 这 个 交易 实际 上 是 利用 用 户 提供 的 一 个 未 来 币 的 消耗 ， 以 此 制造 出 
一 个 新 的 份额 输入 ， 并 分 派 给 每 一 个 可 能 发 生 的 结果 。 还 有 一 个 交易 类 型 叫 作 
SellPortfolio, 你 可 以 卖 (或 消耗 ) 每 一 个 对 应 不 同 的 结果 的 份额 ， 以 此 赎 回 一 个 
未 来 币 。 未 来 币 和 每 一 个 结果 对 应 的 份额 可 以 进行 互 换 。 

你 可 以 用 份额 来 换 未 来 币 ， 只 要 可 以 找到 交易 对 手 ， 你 也 可 以 用 一 种 份额 
去 换 另 一 种 份额 。 下 面 的 案例 就 更 加 有 趣 了 ， 你 可 以 用 一 个 未 来 币 购 买 每 一 种 
可 能 发 生 的 结果 的 份额 ， 然 后 把 那些 你 认为 不 太 可 能 发 生 结 果 的 份额 的 卖 掉 ， 
对 于 那些 你 认为 没有 什么 机 会 获胜 的 球 队 ， 你 可 以 把 相对 应 的 份额 卖 给 其 他 对 
此 有 兴趣 的 人 。 一 旦 你 做 了 这 些 ， 你 的 投资 组 合 就 不 再 是 每 个 队 均 分 的 ， 你 也 
就 不 能 再 自动 赎 回 一 个 未 来 币 了 ， 取 而 代 之 的 是 ， 你 必须 要 等 到 最 后 的 结果 出 
来 之 后 才能 赎 回 你 的 份额 一 如 果 你 所 押 的 球 队 没有 最 终 获 胜 ， 你 可 能 什么 都 
拿 不 回来 。 另 一 方面 ， 你 也 可 以 直接 从 交易 中 获 利 。 你 可 以 购买 一 个 平衡 的 投 
资 组 合 ， 等 待 价格 变化 ， 然 后 出 售 所 有 的 份额 以 换 回 更 多 的 未 来 币 ， 这 些 未 来 
币 可 以 用 来 和 比特 币 或 者 其 他 货币 进行 兑换 。 


预测 市 场 的 仲裁 
如 何 用 去 中 心 化 的 方法 来 实现 仲裁 呢 ? 如 何 做 出 判断 并 宣布 胜 者 和 定价 ， 
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然后 胜 者 可 以 赎 回 他 们 所 赢得 的 份额 ?最 简单 的 系统 就 是 找 一 个 信得过 的 仲裁 
员 ， 也 就 是 上 面 所 说 的 CreateMarket。 任 何 参与 者 都 可 以 发 起 组 织 一 个 市 场 ， 在 
这 个 市 场 里 他 就 是 仲裁 员 (或 是 指定 某 人 为 仲裁 员 ) 。 他 们 可 以 创建 一 个 交易 ， 
然后 宣布 发 起 组 成 了 一 个 市 场 去 预测 世界 杯 的 比赛 结果 ， 他 们 会 决定 谁 是 最 后 
的 获胜 者 ， 如 果 你 相信 他 们 ， 你 就 可 以 接受 他 们 在 CloseMarket 交易 上 的 签名 作 
为 最 后 判决 的 依据 。 

就 像 其 他 的 市 场 一 样 ， 我 们 可 以 想象 ， 经 过 一 段 时 间 后 ， 有 些 实 体 慢 慢 地 
建立 声誉 并 成 了 可 信任 的 仲裁 者 。 然 后 它们 就 会 主动 维护 它们 有 价值 的 声誉 并 
做 出 公正 的 仲裁 。 但 是 ,一 旦 潜在 的 获 利 大 于 其 声誉 价值 ， 就 会 存在 风险 ， 也 
就 是 它们 有 可 能 会 去 操纵 一 个 预测 来 获取 巨额 收益 ， 这 对 预测 市 场 而 言 是 非常 
危险 的 。 举 例 来 说 ,在 世界 杯 的 预测 市 场 里 ， 即 使 阿根廷 队 事实 上 输 掉 了 比赛 ， 
但 是 仲裁 者 还 是 有 可 能 宣布 阿根廷 队 获 胜 。 如 果 仲 裁 者 自己 头 了 大 量 的 阿根廷 
队 获胜 的 份额 ， 他 可 能 会 通过 操纵 这 个 结果 最 足够 多 的 钱 ， 而 不 在 乎 毁 掉 他 的 
名 和 营 。 

我 们 可 以 有 一 个 更 加 去 中 心 化 的 仲裁 系统 吗 ? 一 个 选择 是 设 定 多 个 仲裁 者 ， 
然后 基于 多 数 人 的 决定 做 出 判决 ， 或 者 基于 投票 结果 一 一 要 么 由 所 有 在 市 场 上 
拥有 份额 的 用 户 进行 投票 ,或 者 由 加 密 数 字 货 币 的 矿工 进行 投票 ， 这 些 投 票 方 
案 通 常 也 会 要 求 对 投 少 数 票 的 人 进行 相应 地 惩罚 。 但 这 些 方法 都 有 很 多 问题 ， 
所 以 我 们 也 不 知道 它们 在 实际 运用 中 是 否 可 行 。 

现实 是 复杂 的 。 除 了 仲裁 者 可 能 作假 的 问题 之 外 ， 事 件 结果 的 判断 也 可 能 
存在 争议 。 我 们 最 喜欢 的 一 个 案例 就 是 2014 年 的 超级 硫 比 赛 ， 超 级 碗 上 有 一 个 
传统 ， 胜 利 的 球 队 会 将 一 桶 佳 得 乐 (Gatorade) 饮料 倒 在 他 们 主教 练 的 头 上 。 人 
们 想 要 去 对 获胜 球 队 用 来 庆祝 的 佳 得 乐 的 颜色 进行 预测 ， 这 种 预测 市 场 由 来 已 
久 。 在 2014 年 ， 预 测 结 果 包 括 黄 色 、 柳 色 和 其 他 佳 得 乐 饮料 所 有 的 颜色 。 但 是 
在 那 一 年 ， 一 个 前 所 未 有 的 结果 出 现 了 ， 很 难 去 决定 最 终 的 结果 是 什么 。 当 海 
座 队 (Seahawks) 获胜 的 时 候 ， 球 员 们 把 一 桶 橙色 的 佳 得 乐 倒 在 了 主教 练 披 
得 卡 罗 尔 〈Peter Carroll) 的 头 上 ， 仅 仅 过 了 一 会 儿 ， 另 外 一 些 球员 又 倒 了 另 
外 一 桶 黄色 的 佳 得 乐 。 
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如 果 你 主持 了 这 么 一 个 预测 佳 得 乐 颜色 的 预测 市 场 ， 你 会 怎么 处 理 这 个 情 
况 ? 最 终结 果 应 该 是 橙色 ,还 是 黄色 ， 还 是 两 个 都 算 ? 实际 情况 是 ， 好 儿 个 体 
育 博彩 服务 提供 商 为 了 保持 自己 的 声誉 ， 即 使 他 们 因此 而 损失 一 些 金钱 , 但 为 
了 获取 客户 对 他 们 的 信任 ， 还 是 决定 文 付 奖 金 给 所 有 预测 橙色 和 黄色 的 用 户 。 

当然 ， 在 一 个 去 中 心 化 的 市 场 里 ， 这 种 做 法 并 不 容易 ， 因 为 你 不 可 能 无 中 
生 有 地 创造 出 更 多 的 资金 去 支付 两 种 结果 的 万 家 ， 很 可 能 是 仲裁 者 让 预测 橙色 
和 黄色 的 双方 平分 奖金 ， 最 终 这 两 种 份额 的 价格 部会 变 成 0.5 而 不 是 1.0。 为 了 
避免 这 种 复杂 情况 ， 你 可 以 一 开始 在 合约 里 定义 清楚 ， 但 是 你 不 可 能 确保 你 能 
考虑 到 所 有 的 可 能 性 。 这 个 案例 让 我 们 深刻 地 意识 到 ， 仲 裁 是 个 社会 问题 ， 通 
过 技术 手段 是 无 法 完美 地 解决 这 个 问题 的 。 


实时 数据 供给 

仲裁 这 个 概念 引导 出 一 个 更 加 广义 的 概念 : 扩展 虚拟 货币 的 功能 来 宣告 现实 
社会 里 的 事实 。 我 们 称 之 为 实时 数据 供给 。 一 个 典型 的 预测 市 场 的 事件 的 事实 ， 
比如 谁 赢 了 选举 、 某 只 股票 或 者 某 个 大 宗 商 品 的 当天 价格 或 现实 世界 里 有 价值 的 
数据 。 只 要 比特 币 里 有 了 这 些 数据 ， 脚 本 语言 就 可 以 将 其 作为 输入 。 比 如 ， 一 个 
脚本 可 以 将 现货 金属 铜 的 价格 加 载 在 堆栈 里 ， 然 后 据 此 价格 做 出 决策 ,了 

只 要 存在 一 个 值得 信任 的 实时 数据 供给 ,我们 就 可 以 对 体育 比赛 结果 或 是 
期 货 市 场 的 价格 进行 预测 投资 和 自动 结算 。 预 测 市 场 只 是 其 中 一 个 应 用 而 已 。 
尔 可 以 通过 对 相反 的 两 个 结果 都 进行 预测 投资 ， 以 实现 在 你 的 投资 组 合 里 加 入 
风险 对 冲 。 你 还 可 以 派生 出 一 些 金融 衍生 产品 ， 比 如 目前 金融 市 场 上 常见 的 远 
期 合约 和 期 货 合约 。 如 果 这 些 都 能 通过 比特 币 来 实现 ， 岂 不 是 更 好 ? 

我 们 可 以 把 如 何在 比特 币 (或 是 其 他 另类 币 ) 里 用 技术 手段 来 表现 现实 社 
会 事实 这 个 问题 ， 和 我 们 如 何 建立 对 数据 供给 的 正确 性 的 信心 这 个 社会 问题 分 
离开 来 。 

一 个 聪明 的 把 数据 供给 编码 到 比特 币 的 方法 叫 作 现实 密 钥 (reality keys)。 


了 DD 技术 细节 请 参阅 第 3 章 相 关内 容 。 一 一 译 者 注 
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在 这 个 系统 里 ， 仲 裁 者 制造 出 一 对 密 钥 ， 并 用 该 密 钥 对 他 们 所 感 兴趣 的 所 有 事 
件 的 所 有 结果 进行 签名 ， 一 个 密 钥 代表 “是 ”， 另 一 个 代表 “ 否 ”。 他 们 在 注册 
登记 事件 的 时 候 先 发 表 公 钥 ， 然 后 当 结 果 确 定 的 时 候 ， 再 发 表 那 一 对 密 钥 里 的 
私 钥 。 如 果 爱 丽 丝 和 鲍 勃 共同 对 一 个 事件 进行 预测 ， 他 们 可 以 把 各 目的 保证 金 
发 送 到 一 个 比特 币 输出 ， 爱 丽 丝 可 以 使 用 她 自己 的 私 铀 和 “是 ”这 个 密 钥 进行 
联合 签名 以 提取 这 个 奖金 ， 鲍 勃 可 以 使 用 他 上 自己 的 私 铀 和 “和 否 ” 这 个 密 钥 进行 
联合 签名 提取 。 这 就 很 好 地 实现 了 公正 地 使 用 数据 供给 作为 脚本 输入 的 目标 ， 


无 须 参 与 到 爱丽 丝 和 鲍 勃 之 间 的 特定 预测 保证 金 中 去 。 


交易 委托 

预测 市 场 的 最 后 一 个 重要 环节 是 一 个 去 中 心 化 的 交易 委托 ， 这 也 是 一 个 通 
用 概念 ， 如 果 能 实现 ， 将 会 使 很 多 的 应 用 设想 变 为 可 能 。 交 易 委 托 是 什么 呢 ? 
在 一 个 真实 的 预测 市 场 里 ， 或 者 是 大 多 数 金 融 市 场 里 ， 并 没有 一 个 统一 的 市 场 
价 ， 通常 在 交易 委托 中 会 有 头 入 价 (bid) 和 买 出 价 (ask) 两 种 ， 关 和 人 价 是 指 
愿意 购买 份额 的 参与 者 所 出 的 最 高 价 ， 卖 出 价 则 是 愿意 出 售 份额 的 参与 者 所 出 
的 最 低 价 。 通 沼 卖 出 价 会 大 于 头 入 价 (否则 市 场 就 会 对 此 进行 气 合 ， 至 少 其 中 
的 一 个 交易 委托 将 不 会 出 现在 列表 中 ) 。 一 个 想 要 购买 份额 的 参与 者 可 以 立刻 以 
卖 出 价 购买 ， 而 一 个 想 要 出 售 的 参与 者 则 可 以 立刻 以 买 人 价 出 售 ， 这 个 交易 被 
尔 为 “市 价 委托 ”， 对 应 于 “ 限 价 委托 ” 交易 委托 被 设 定 为 一 个 特定 的 价 
格 挂 在 交易 委托 列表 中 ， 这 些 交 易 委 托 将 会 按照 限定 的 价格 (或 者 高 于 限定 的 
价格 ) 执行 。 

通常 这 是 由 一 个 中 心 化 的 交易 委托 服务 提供 商 (通常 是 一 个 交易 所 ) 来 实 
现 的。 但 问题 是 ， 就 像 许多 中 心 化 的 服务 所 面临 的 问题 一 样 ， 如 果 这 个 交易 所 
不 诚实 的 话 ， 它 可 以 通过 损害 用 户 的 利益 来 获 利 。 比 如 ， 一 个 交易 所 收 到 了 一 
个 买单 ， 它 们 有 目 己 可 以 先 在 最 好 的 卖 出价 的 时 候 下 单 买 人 ， 然 后 马上 再 在 高 位 
卖 出 ， 赚 取 中 间 的 差额 。 这 也 叫 作 预 先 交 易 (frontrunning) ， 指 的 是 交易 商 利用 
得 知客 户头 卖 证 券 动 回 的 机 会 ， 抢 在 客户 发 出 买卖 指令 之 前 为 牟取 利益 而 进行 
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交易 的 违规 行为 (例如 在 股票 大 量 交 易 前 ， 在 期 权 或 期 货 市 场 进行 相应 交 多 )， 
这 是 一 种 金融 犯罪 行为 。 中 心 化 的 交易 委托 需要 执法 部 门 来 监管 ,来 防止 这 种 
预先 交易 的 行为 ， 以 确保 系统 诚信 的 公信 力 。 

在 一 个 去 中 心 化 的 交易 委托 里 ， 我 们 不 能 依赖 吕 有 力 的 执法 部 门 。 但 还 是 
有 一 个 较 好 的 解决 方案 : 我 们 不 再 将 预先 交易 称 为 犯罪 , 然后 表 想 办 法 去 防 郊 ， 
我 们 称 之 为 一 个 特性 。 这 个 想法 是 ,任何 人 都 可 以 通过 广播 交易 的 办 法 把 限 价 
委托 提交 给 矿工 ， 只 要 买 人 价 比 卖 出 价 高 或 者 相同 ,矿工 就 能 够 撮合 两 个 交易 。 
这 个 矿工 只 需 把 两 者 之 间 的 差 条 留 下 作为 交易 费 即 可 。 这 样 一 来 ,矿工 就 没有 
动机 去 做 所 谓 的 预先 交易 ， 因 为 与 此 相 比 ， 预 先 交 易 不 可 能 赚 得 更 多 。 

这 是 一 个 很 简练 地 建立 去 中 心 化 的 委托 交易 的 办 法 。 其 最 大 的 缺点 是 交易 
者 必须 支付 给 矿工 费用 。 为 了 避免 支付 这 种 交易 费 ， 交 易 者 们 可 能 会 提交 侦 向 
保守 的 交易 委托 ， 不 会 在 开始 时 就 透露 他 们 愿意 成 交 的 最 高 或 者 最 低 价位 ， 这 
会 使 得 市 场 变 得 不 是 很 有 效率 。 我 们 现在 还 不 知道 ， 这 种 让 矿工 撮合 交易 的 交 
易 委托 方法 在 现实 操作 中 是 否 可 行 ， 但 看 上 去 这 是 个 不 错 的 主意 。 

总 结 一 下 ， 现 在 比特 币 可 以 作为 很 多 种 应 用 的 平台 ， 但 对 于 某 些 应 用 ， 比 
特 币 也 没有 更 好 的 发 展 皇 ， 比 如 ， 对 于 实现 一 个 安全 的 去 中 心 化 的 预测 市 场 ， 
或 者 是 一 个 去 中 心 化 的 交易 委托 系统 ， 比 特 币 并 未 提供 所 要 求 的 全 部 特性 。 但 
假如 我 们 从 头 开 始 ， 和 起 掉 便 分 义 或 是 软 分 义 , 忘掉 对 比特 币 增加 新 功能 所 直到 
的 挑战 ， 那 又 当 如 何 呢 ? 目 2008 年 比特 币 面世 以 来 ,我 们 对 比特 币 有 了 越 来 越 
多 的 理解 和 认识 ， 为 什么 我 们 不 可 以 设计 一 个 全 新 的 更 好 的 数字 货币 呢 ? 

我 们 将 在 下 一 章 讨 论 已 经 尝试 这 么 做 的 另类 币 概念 ， 我 们 将 会 探讨 所 有 有 
琢 途 的 想法 以 及 开发 一 个 全 新 的 加 密 数字 货币 所 面临 的 挑战 。 


延伸 陪读 


我 们 看 过 的 两 种 文件 的 项 目 材料 和 说 明 书 ， 可 以 参与 交易 对 手 方 条 款 说 明 。 
您 可 以 通过 如 下 网 址 阅读 : 
https: //github. com/ CounterpartyXCP/ Documentation/ blob/ master/ Developers/ 
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protocol_ specification. md. 


OpenAssets Protocol 可 通过 如 下 网 址 阅读 : 


https: //github. com/ OpenAssets/open-assets-protocol. 


我 们 描述 过 的 安全 多 方 抽 奖 协 定 (The secure multiparty lottery protocol ) 可 
以 参阅 如 下 论文 : 

Andrychowicz, Marcin, Stefan Dziembowski, Daniel Malinowski, and Lukasz Ma- 

zurek. “ Secure Multiparty Computations on Bitcoin. ” Presented at the 2014 

IEEE Symposium on Security and Privacy, San Jose, CA, 2014. 

您 可 以 通过 如 下 网 址 阅读 : 

https: //eprint. lacr. org/2013/784. pdf. 


经 济 学 家 们 预测 市 场 的 能 力 的 研究 ， 请 参阅 如 下 论文 : 
Wolfers, Justin, and Eric Zitzewitz. “ Prediction Markets. ”Paper wl0504. Cam- 
bridge, MA: National Bureau of Economic Research, 2004. 
Arrow, Kenneth J., Robert Forsythe, Michael Gorham, Robert Hahn, Robimn 
Hanson, et al. “The Promise of Prediction Markets.” Science 320, 2008. 


我 们 讨论 过 的 预测 市 场 设计 的 相关 内 容 ， 可 以 参阅 如 下 论文 (由 多 位 作者 
合 闭 ): 

Clark, Jeremy, Joseph Bonneau, Edward W. Felten, Joshua A. Kroll, Andrew 

Miller, and Arvind Narayanan. “ On Decentralizing Prediction Markets and Order 


Books. Presented at the Workshop on the Economics of Information Security ， 
State College, PA, 2014. 

您 可 以 通过 如 下 网 址 阅读 : 

http: /A/www. jbonneau. com/ doc/CBEKMN14-WEIS-decentralizing_ prediction_ 
markets. pdf. 
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比特 币 ， 尽 管 是 非常 重要 的 组 成 部 分 ， 但 它 只 是 范围 更 广泛 的 数字 生态 系 
统 中 的 一 种 ， 该 生态 系统 的 其 他 货币 也 与 比特 币 相 似 ， 我 们 称 之 为 另类 币 。 本 
音 中 ， 我 们 将 探讨 另类 币 及 加 密 货 币 生 态 系统 (cryptocurrency ecosystem ) 。 


10.1 为 类 币 的 力 史 和 诱因 


2009 年 1 月 ， 比 特 币 诞生 . 2011 年 年 中 ， 还 未 到 两 年 ， ee 
的 衍生 货币 一 一 域名 币 就 出 现 了 。2013 年 ， 另 类 币 出 现 爆炸 式 增长 ， 迄 今 为 止 
已 有 数 百 个 ( 见 图 10.1)。 由 于 没有 明确 的 统计 标准 ,我们 无 法 给 de 
字 。 举 个 例子 ， 如 果 有 人 宣布 创造 了 一 种 另类 币 ， 可 能 也 公开 了 源 代 码 ， 但 无 
人 控 矿 也 无 人 使 用 ， 这 种 货币 是 否 震 要 纳入 统计 范围 ?” 此外， 有些 另类 币 ， 在 
其 诞生 初期 是 有 人 使 用 的 ， 但 后 来 很 快 就 无 人 问津 了 ， 这 类 货币 是 否 也 需要 纳 
入 统计 范围 ? 

而 且 ， 我 们 也 不 清楚 如 何 区 分 另类 币 和 传统 数字 加 密 货 币 。 早 在 比特 币 出 
现 之 前 ， 就 有 多 种 数字 加 蜜 货币 的 方案 和 系统 ,这些 货币 并 不 能 称 作 另类 币 。 
许多 为 类 币 信 用 了 比特 币 的 概念 ， 它 们 通常 是 直接 复制 其 基础 代码 或 是 使 用 部 
分 代码 。 有 些 只 对 比特 币 做 了 极 小 的 改动 ， 例 如 只 改变 一 些 系统 参数 值 ， 保 留 
比特 币 开 发 者 后 续 所 做 的 所 有 变更 。 截 至 目前 ， 所 有 已 知 的 另类 币 都 是 从 一 个 
新 的 创 世 区 块 开始 ， 部 有 日 己 独特 的 交易 历史 ， 而 不 是 从 比特 币 历 史 交 易 记 录 
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一 项 顶风 网 a A I A i 晤 如 加 


图 10.1 每 月 创造 的 另类 币 量 
注 : 仅 指 通过 创 世 区 块 创建 的 男 类 市 


中 的 某 个 区 块 进行 分 义 ， 进 而 演化 出 自己 体系 的 。 为 了 人 研究 和 学 习 ， 我 们 并 不 
需要 另类 币 的 精确 的 定义 ， 而 是 把 将 所 有 在 比特 币 之 后 诞生 的 加 密 货 币 笼统 地 
称 为 另类 币 。 

我 们 将 简要 提 一 下 非 另 类 币 系 统 ， 如 瑞 波 公司 (Ripple) 和 恒星 公司 〈Stel- 
lar) ， 它 们 属于 第 2 章 中 所 介绍 的 传统 分 布 式 共识 协议 。 这 类 系统 为 了 达成 共 
识 ， 模 型 中 每 个 节点 都 有 自己 的 标记 并 且 需 要 知道 其 他 节点 的 标记 。 当 然 ， 比 
特 币 建立 共识 的 模型 与 此 截然 不 同 。 在 瑞 波 公司 和 恒星 公司 中 ， 共 识 协议 支持 
支付 清算 网 络 并 且 在 每 个 体系 中 有 其 自己 的 货币 。 尽 管 这 些 特性 和 男 类 币 类 似 ， 
但 在 本 书 中 并 未 将 它们 作为 另类 币 考虑 。 


上 友 行 另类 币 的 原因 

每 种 另类 币 都 有 自己 的 故事 。 一 种 另类 币 之 所 以 存在 ， 就 是 因为 它 有 别 于 
其 他 另类 币 的 特点 。 最 简单 的 情况 下 ， 一 种 另类 币 只 是 修改 比特 币 内 置 的 参数 ， 
比如 修改 区 块 的 平均 时 间 间 隔 、 区 块 大 小 限制 、 创 造 回报 的 计划 和 货币 的 通货 
膨胀 率 等 。 

当然 也 有 更 复杂 的 技术 上 的 差异 ， 这 种 情况 更 有 趣 。 例 如 ， 可 以 对 脚本 语 
言 进行 扩充 以 增加 交易 种 类 和 安全 属性 ， 可 以 采用 与 比特 币 完全 不 同 的 挖 矿 方 
式 以 及 共识 算法 (consensus algorithm) 。 
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有 了 时， 为 了 支持 一 个 主题 或 者 社区 ， 通 常 是 需要 给 社区 中 的 成 员 赋 予 一 个 
特定 的 角色 或 权限 ， 就 会 有 一 种 比特 币 被 创造 出 来 。 本 章 将 在 最 后 的 部 分 研究 
此 类 相关 案例 。 


如 何 创造 一 个 另类 币 

我 们 首先 考虑 一 下 另类 币 在 创建 过 程 中 及 创建 后 所 涉及 的 内 容 。 正 如 前 文 
提 到 的 ， 创 造 一 个 另类 币 就 是 建立 一 个 全 新 的 参照 体系 ， 最 常见 就 是 通过 复制 
修改 现存 的 成 熟 男 类 币 或 者 比特 币 本 里 。 最 容易 的 部 分 就 是 加 一 些 技 术 特 色 或 
者 修改 一 些 参 数 使 之 更 好 用 。 和 曾经 有 一 个 网 站 coingen. io， 只 收取 一 些 费 用 ， 束 
会 自动 产生 一 个 另类 币 。 你 只 需要 自己 设 定 各 种 参数 ， 比 如 区 块 产生 的 平均 时 
间 、 需 要 的 工作 量 证 明 算 法 、 另 类 币 的 名 字 以 及 3 个 字母 的 货币 代码 和 标志 。 
完成 设置 后 ， 只 要 轻 轻 点 击 鼠 标 ， 就 能 下 载 一 份 根 据 你 的 需要 修改 的 比特 币 源 
代码 ， 你 就 拥有 了 了 目 己 的 另类 币 ， 接 下 来 你 就 可 以 和 别人 马上 开始 运用 这 个 号 
类 币 了 。 另 类 币 最 困难 的 部 分 在 于 如 何 让 别人 逐步 接受 并 使 用 你 的 另类 币 。 通 
过 复制 并 修改 源 代 码 ， 你 可 以 对 外 发 布 新 的 另类 币 ， 在 刚 诞 生 时 ， 没 有 人 会 使 
用 这 个 货币 ， 由 于 没有 人 想 拥 有 这 个 货币 ， 因 此 它 毫 无 价值 ， 又 由 于 没有 挖 矿 
的 人 ， 它 也 不 安全 。 本 书 第 7 草 ， 我 们 介绍 过 比特 币 系 统 的 利益 相关 者 : 开发 
者 、 矿 工 、 投 资 者 、 商 家 、 客 户 和 支付 服务 商 。 最 终 ， 为 了 让 你 的 另类 币 形成 
规模 ， 你 需要 吸引 这 些 参与 人 加 入 这 个 货币 的 生态 圈 中 。 

另类 币 的 这 些 相 关 群 体 都 是 非常 重要 的 ， 而 且 它 们 相互 关联 ， 这 与 创建 并 
推广 一 个 平台 非常 类 似 。 比 如 ,创建 一 个 智能 手机 操作 系统 ， 就 需要 用 户 、 设 
备 制 造 商 、 手 机 软件 开发 者 和 其 他 重要 的 利益 相关 者 共同 参与 ， 同 时 每 个 角色 
都 震 要 和 群体 中 的 其 他 人 的 参与 。 

在 为 类 币 中 ， 吸 引 矿 工 对 另类 币 来 说 特别 重要 ， 因 为 如 果 没 有 足够 的 哈 硕 
算 力 做 文 持 ， 双 重文 付 和 复制 修改 代码 就 很 可 能 会 发 生 ， 另 类 币 的 安全 性 就 无 
从 谈 起 。 事 实 上 ， 这 种 货币 可 能 会 彻底 衣 泪 ,本章 10. 4 节 中 将 会 讨论 “另类 币 
天 折 ”(altcoin infanticide) 。 没 有 一 个 简单 的 方法 可 以 吸引 大 家 接受 并 逐步 推广 
使 用 另类 币 ， 但 是 通常 来 说 ， 当 矿工 感觉 到 货币 回报 值得 他 们 付出 时 ， 他 们 就 
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会 加 入 。 为 了 吸引 矿工 ， 很 多 另类 币 都 给 早期 矿工 比较 丰厚 的 回报 。 比 特 币 显 
然 是 最 早 采 用 这 种 策略 的 ， 后 来 很 多 另类 币 采 用 了 更 加 激进 的 激励 措施 来 吸引 
时 期 而- | . 0 

而 最 困难 的 工作 ， 是 让 一 个 社区 的 人 相信 这 个 为 类 币 有 价值 。 正 如 我 们 在 
第 7 章 讨 论 过 的 ， 即 便 对 比特 币 来 说 ， i 也 不 是 特别 清楚 这 个 过 程 是 如 何 自 
举 的 。 这 依赖 仙子 效应 ， 从 而 实现 自我 增强 ,让 人 们 相信 它 有 价值 的 过 程 是 如 
何 实 现 的 。 这 就 回 到 我 们 一 开始 提 到 的 ， ep 要 有 一 个 好 的 故事 ， 才 能 让 
人 相信 这 个 新 的 另类 币 将 来 会 有 价值 ， 或 者 是 相信 其 他 人 会 认为 这 个 有 价值 。 
如 果 一 个 社区 对 获取 另类 币 感 兴趣 ， 和 矿工 就 会 参与 进来 . 只 要 价值 被 认可 ， 其 
他 重要 的 元 素 就 会 显现 ， 比 如 在 交易 所 交易 以 及 从 开发 区 块 链 的 工具 ， 到 游说 
团体 开发 的 各 种 辅助 设施 和 服务 


拉 高 出 货 骗 术 (pump-and-dump scams ) 

当 一 种 另类 币 的 创始 人 成 功 地 促成 一 个 活跃 的 货币 社区 和 一 个 真正 在 运作 
的 交易 市 场 时 ， 他 们 就 会 变 得 非常 富有 。 几乎 可 以 肯定 的 是 ， 他 们 拥有 很 多 这 
类 货币 。 这 种 赁 币 可 能 来 源 于 ， 在 系统 运行 最 初 ， 哈 布 算 力 还 不 是 很 高 的 时 候 
者 币 ， 或 者 是 类 似 接 下 来 要 讨论 的 ,在 还 未 挖 矿 之 前 获得 的 预先 分 配 的 

, 一旦 男 类 币 的 交换 价值 提高 了 ,创始 人 就 可 以 选择 卖 掉 他 们 的 货币 ， 

一 夜 致富 的 可 能 性 ， 极 大 地 吸引 了 有 雄心 的 创业 者 和 风险 投资 基金 ， 毫 不 
意外 地 也 吸引 了 骗子 。 事 实 上 ,我 们 很 难 区 分 骗子 和 创业 者 。 骗 子 可 能 会 使 用 
各 种 方法 ， 来 伶 大 一 种 男 类 币 的 潜在 和 未 来 收益 。 他 们 可 能 会 炒作 它 的 技术 优 
点 ,伪造 底 层 支 持 的 假象 ， 在 市 场 上 推 高 男 类 币 价 格 等 , 

事实 上 ,甚至 连 非 创始 人 都 可 以 设计 这 样 的 骗 届 ,他们 可 以 先 买 和 大量 还 
未 出 名 的 为 类 币 ， 然 后 说 服 大 众 相 信 该 货币 还 有 未 实现 的 增值 潜力 J 是 
“ 拉 间 ”) 。 如 来 成 功 地 拉 高 了 货币 的 价格 ， 他 们 就 可 以 通过 卖 出 获 利 (也 就 是 
“抛售 ”) 。 此 时 ， 很 多 理智 的 投资 者 可 能 会 车 识 到 这 是 不 驴 局 然后 币值 出 现 晰 


D 尽管 当 币 种 升值 快 于 控 矿 的 速度 时 ， 可 能 会 有 风险 . 
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岸 式 下 跌 ， 导 致 很 多 当初 购买 的 人 最 终 血 本 无 归 ， 只 剩 下 毫 无 价值 的 赁 币 。 这 
种 拉 高 出 货 的 骗局 ， 在 操纵 不 知名 的 低 价 股票 的 主流 金融 业务 中 很 币 见 ， 在 万 
类 币 的 发 展 早期 也 很 普遍 ， 那 时 候 用 户 热情 高 涨 ， 投 资 者 也 无 法 分 辨 到 撒 哪 一 
种 另类 币 是 真正 具有 创新 性 的 ， 哪 一 种 是 依靠 噬 头 和 推广 ， 但 实际 是 坚 无 中 正 
价值 的 。 这 也 导致 ， 截 至 目前 ， 用 户 和 投资 者 都 厌烦 了 为 类 币 。 


初始 分 配 

在 比特 币 体系 中 ， 货 币 只 能 以 挖 矿 的 方式 分 配给 用 户 。 但 是 在 其 他 为 类 币 
体系 里 ， 出 于 各 种 考量 ， 除 挖 矿 以 外 ， 开 发 者 们 还 使 用 其 他 方法 对 货币 进行 初 
始 分 配 。 

开发 者 可 以 预先 分 配 货币 ， 也 就 是 说 ， 先 预 留 一 部 分 货币 给 目 己 或 者 其 他 
特定 团体 (比如 预 留 给 开发 该 货币 的 非 营利 性 组 织 ) 。 用 这 个 额外 的 收获 ， 去 油 
励 开 发 者 花费 时 间 精 力 去 创造 和 激活 一 个 新 的 加 密 货 币 。 有 时 候 ， 也 可 能 会 采 
取 更 激进 的 激励 方式 ， 即 可 以 对 赁 币 进 行 预 售 ， 也 就 是 把 这 些 货币 预先 卖 给 其 
他 投机 者 ， 换 取 比 特 币 或 者 现实 中 的 货币 。 这 有 点 像 投 资 初创 企业 : 如 果 投 资 
的 另类 币 成 长 起 来 ， 投 机 者 就 会 获得 大 量 财富 。 

寻求 各 种 预 分 配方 法 的 另外 一 种 动机 是 ， 确 保 早 期 的 货币 拥有 者 来 自 多 个 
社区 ， 并 且 他 们 与 货币 成 功 的 利益 相关 。 如 果 矿 工 太 为 集中 ， 就 会 造成 资产 持 
有 过 度 集中 ， 这 不 利于 货币 的 发 展 壮 大 。 一 种 比较 聪明 的 分 散 所 有 权 的 做 法 ， 
就 是 把 另类 币 发 给 现 有 的 比特 币 用 户 。 

在 技术 上 如 何 做 到 这 一 点 ， 即 让 比特 币 用 户 可 以 月 动 地 分 配 ， 并 拥有 另类 
币 ? 一 种 办 法 是 通过 第 3 章 谈 到 过 的 “销毁 证 明 ”: 用 户 只 要 证 明 他 们 销毁 了 一 
定 比例 的 比特 币 ， 就 能 要 回 一 个 单位 新 的 另类 币 。 用 户 需 要 在 销毁 的 时 候 提 供 
数据 证 明 ， 比 如 特殊 的 字符 串 来 识别 某 个 男 类 币 ， 这 样 就 可 以 说 明 他 们 销毁 比 
特 币 的 目的 ， 就 是 为 了 获取 这 个 新 的 男 类 币 ( 见 图 10.2)， 

通过 “销毁 证 明 ” 来 分 配 为 类 币 ， 也 叫 作 “ 单 向 挂 钓 ” 或 者 “价格 上 限 ” 
男 类 币 可 以 一 对 一 地 配对 比特 币 ， 并 不 意味 着 两 者 价值 相同 。 这 样 的 配对 ， 确 保 男 
类 币 最 多 值 1 个 比特 币 。 因 为 ，1 个 比特 币 可 以 换 1 个 男 类 币 ， 但 是 反 过 来 不 行 。 
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另类 币 区 块 链 


比特 币 区 块 链 





图 10.2 通过 “销毁 证 明 ” 分 配 另 类 币 
注 : 另类 币 提供 一 个 以 比特 币 操作 为 输入 的 生成 货币 (GenCoin) 的 指令 。 生成 货币 的 签名 用 到 
的 私 铀 ， 和 签 销 毁 证 明 的 私 钥 是 一 样 的 〈 签 名 的 机 制 也 一 样 ) 。 这 样 就 能 保证 . 销毁 比特 币 
的 同一 个 用 户 ， 同 时 创造 了 新 生成 货币 。 如 果 汇 兑 比例 是 1 : 1， 那 么 另类 币 的 价值 "不 大 于 
比特 币 的 价值 v 


也 可 以 有 一 些 相 对 没 那么 复杂 的 做 法 : 要 求 用 户 提供 拥有 比特 币 的 证 明 ， 
但 无 须 销 毁 比 特 币 ， 也 以 获得 新 币 。 具 体 来 说 ， 夯 类 币 体系 会 指定 一 个 比特 币 
区 块 高 度 〈 也 许 刚 好 就 是 另类 币 逛 生 时 的 长 度 ) 。 在 这 个 高 度 的 区 块 里 ， 任 何人 
拥有 还 没 花 掉 的 比特 币 ， 就 可 以 按 比例 得 到 同样 数量 的 男 类 币 ( 见 图 10.3 ) 。 
通过 这 种 方式 ， 比 特 币 和 为 类 币 的 价格 就 无 须 固定 ， 毕 况 比 特 币 并 没有 通过 销 
毁 证 明 来 “转换 ”成 为 另类 币 。 


比特 币 区 块 链 妨 类 币 区 块 链 





图 10.3 通过 证 明 比 特 币 的 所 有 权 来 分 配 另 类 币 
注 : 生成 货币 的 输入 ， 是 特定 区 块 高 度 下 一 个 或 者 多 个 没 用 过 的 比特 币 交 易 输出 。 就 像 正 常 的 
比特 币 操作 一 样 ， 这 些 都 是 通过 控制 未 使 用 比特 币 的 私 钥 来 进行 签名 认证 的 。 图 中 的 比特 
币 交 易 有 两 个 未 用 过 的 交易 输出 ,分 别 为 特定 高 度 区 块 链 中 的 B 和 C 地 址 。B 地 址 的 用 户 换 
了 另类 币 ， 但 C 地 址 用 户 还 没 这 么 做 。 假 设 汇 兑 比例 是 1 : 1， 新 另类 币 的 价值 为 v'， 那 么 
v 一 定 不 能 大 于 B 的 比特 币 价 值 v, 。 


当然 ， 为 了 实现 这 种 分 配 ， 男 类 币 的 矿工 也 必须 时 刻 了 解 比特 币 的 区 块 链 ， 
力 类 币 必 须 明确 什么 才 算 认定 的 比特 币 交 易 。 一 种 选择 是 要 求 固 定 的 确认 次 数 ， 
比如 6 次 。 另外 的 一 种 选择 是 ， 在 每 个 另类 币 的 区 块 中 加 入 最 新 比特 币 区 块 。 
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这 样 ， 比 特 币 的 交易 立刻 可 以 在 男 类 币 体系 里 使 用 ， 而 不 需要 等 每 确认 。 这 束 
类 似 在 比特 币 体系 中 ， 交 易 的 输出 可 以 在 自身 或 者 下 一 个 区 块 中 使 用 。 我 们 将 
在 下 一 节 讨 论 共 同 挖 矿 ( merge mining) ， 一 种 把 比特 币 和 另类 币 区 块 链接 起 来 
的 方式 。 

最 后 一 种 方式 是 ， 把 已 经 分 配 好 的 货币 捐赠 出 去 ,这 也 是 扩大 贷 币 用 户 
多 样 性 的 一 种 办 法 。 一 种 方式 是 支付 小 费 : py 费 给 电子 邮 
箱 或 者 社交 媒体 账户 ,这 多 多 少 少 可 以 促进 Se 
系 中 来 。 接 受 方 收 到 信息 ， 得 知 他 的 托管 账户 存 有 小 费 ， 然后 通过 认证 邮 
件 地 址 或 者 社交 媒体 账号 可 以 取得 这 些小 费 。 当 然 ， 为 获得 这 些小 费 ， 他 
们 还 需要 安装 钱包 软件 ,或 者 采用 其 他 方式 。 为 外 一 种 可 以 称 作 “水 龙头 ” 
捐赠 方式 ， 即 任何 访问 特定 网 站 并 输入 邮件 地 址 的 人 ， 部 可 以 获得 一 小 部 
分 为 类 币 。 


10.2 几 种 另类 币 的 详细 介绍 


接 下 来 ， 我 们 重点 介绍 几 个 最 早 的 为 类 币 。 


域名 币 

本 书 已 经 介绍 过 比特 币 的 区 块 链 是 一 种 安全 的 全 球 数 据 库 ， 其 对 写 人 的 数 
据 具 有 防 算 改 保护 ,并且 是 永久 的 。 那 么 是 否 可 以 修改 比特 币 的 设计 ， 来 文 持 
其 他 安全 的 全 球 数 据 应 用 (比如 域名 系统 ) 呢 ? 

为 了 使 这 个 数据 库 在 非 贫 币 方 面 的 应 用 更 加 有 效 ， 我 们 首先 需要 明确 几 个 
基本 原则 。 第 一 ， 把 录入 的 数据 视 为 域名 或 数值 对 (name/value pairs) ， 域 名 是 
全 球 唯一 的 。 这 就 可 以 使 任何 人 去 寻找 可 映射 到 域名 的 数值 ， 就 像 哈 希 链 表 或 
背 有 主 索 引 的 数据 库 一 样 。 为 了 确保 域名 的 全 球 唯 一 性 ， 如 果 域 名 和 数值 对 与 
以 前 录入 的 相同 ， 则 将 其 视 为 对 旧 数 据 的 更 新 而 非 新 的 数据 。 

第 二 ， 只 有 首次 录入 某 个 域名 的 使 用 者 ， 才 有 权限 更 新 这 个 域名 。 这 很 容 
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易 实现 ， 比 如 可 以 把 每 个 域名 与 比特 币 地 址 联系 起 来 ， 且 规定 必须 用 这 个 地 址 
的 私 钥 ， 才 可 以 对 更 新 交易 签名 

比特 币 可 以 实现 上 述 功能 ， 正 如 第 9 章 中 所 述 ， 可 以 把 比特 币 作 为 只 有 
增添 功能 的 日 志 来 构建 秋 加 货 it 文 些 协 议 写 入 规则 中 ， 其 
他 另类 币 更 易于 实现 上 述 功能 . 一 旦 矿工 执行 了 这 些 规则 ， 这 些 规则 
就 是 不 可 改动 的 ， otro pr 
受到 侵犯 时 该 如 何 处 理 。 它 甚至 可 以 实现 类 似 SPV 形式 的 验证 : 一 个 轻 量 级 
eid 云 行 全 节点 功能 的 服务 需 提 交 一 条 查询 (如 查 域 名 ) ， 服 务 需 则 


会 返 个 域名 项 的 数值 以 及 相关 证 据 ， 用 以 证 明 返 回 的 数值 是 数据 库 中 最 
Ri 
上 文 简要 介绍 了 域名 币 。 一 个 全 球 的 域名 /数值 商店 ， 在 这 个 体系 中 ， 


ape (需要 一 定 的 费用 ) ， 并 且 可 以 更 新 他 
们 拥有 的 域名 的 数值 。 用 户 同时 也 可 以 把 拥有 的 域名 转 给 别人 人。 事实 上 ， 由 于 
域名 转让 与 货币 转让 交易 不 可 人 分割， 你 可 以 在 把 域名 转 给 别人 的 时 候 ， 获 得 几 
个 单位 的 域名 币 。 通 过 这 种 方式 把 域名 卖 给 从 未 谋面 并 且 未 建立 信任 关系 的 人 
是 安全 的 。 虽 然 截至 2015 年 ， 域 名 币 还 无 法 文 持 安全 简单 的 客户 端 ， 但 是 支持 
这 个 扩张 功能 的 提议 已 经 被 提出 来 了 。 

域名 币 的 目的 是 提供 一 个 去 中 心 化 的 域名 系统 DNS， 在 DNS 数据 库 里 ， 名 
字 即 域名 ， 数 值 对 应 IP 地 址 。 目 前 还 无 法 在 普通 浏览 需 里 默认 使 用 域名 币 ， 但 
是 通过 下 载 相关 插件 ， 这 个 插件 就 会 在 域名 币 的 注册 系统 而 非 传统 的 DNS 中 查 
找 IP 地 址 ， 这 样 ， et (Firefox) 或 者 酷 容 ( Chrome) 此 类 的 
浏览 需 中 访问 如 example. bit 这 样 以 . bit 结尾 的 域名 了 。 

域名 币 不 仅 在 技术 上 而 且 在 历史 地 位 上 都 是 很 值得 一 提 的 。 它 诞生 于 2011 
年 4 月 ， 仅 比比 特 币 晚 两 年 ， 是 第 一 个 被 创造 出 的 另类 币 。 其 特点 是 共同 控 矿 ， 
本 革 10. 4 市 将 就 此 做 进一步 讨论 。 

徐 至 2015 年 ， 域 名 币 并 未 被 广泛 使 用 。 大 部 分 的 注册 域名 都 被 一 些 投机 
少 抢 先 注 册 ， 他 们 和 希望 通过 卖 域名 获 利 ( 现实 远 未 如 此 )。 支 持 域名 币 系 统 的 
人 认为 ， 不 应 该 让 现 有 DNS 体系 将 互联 网 核心 组 成 部 分 的 控制 权 ， 过 多 地 交 
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由 单一 机 构 来 管理 。 可 以 想象 ， 这 种 观点 在 比特 币 社区 中 也 很 流行 。 但 是 主 
流 用 户 对 于 用 其 他 方式 来 替代 DNS 并 不 热衷 ， 因 此， 域名 币 这 种 杀手 级 应 用 
无 法 普 


莱特 币 

莱特 币 ( Litecoin) 诞生 于 2011 年 ， 在 域名 币 之 后 。 在 过 去 的 几 年 里 ， 无 论 
是 从 综合 流行 程度 或 是 用 户 基础 看 ， 莱 特 币 都 是 另类 币 中 的 领头 手 。 它 也 是 被 
模仿 修改 最 多 的 货币 。 事 实 上 ， 莱 特 币 被 模仿 修改 的 次 数 超过 了 了 比特 币 。 

莱特 币 和 比特 币 在 技术 上 的 主要 区 别 是 : 莱特 币 用 的 是 第 8 草 讨 论 过 的 基 
于 Serypt 算法 的 刚性 内 存 解 谜 〈memory-hard puzzles ) 。 当 莱特 币 出 现 的 时 候 ， 
比特 币 的 挖 矿 还 在 GPU 时 代 ， 所 以 当时 莱特 币 使 用 刚性 内 存 解 类 ， 目 的 是 奉 代 
GPU-。 一 开始 发 行 时 ， 还 可 以 用 CPU 在 羔 特 币 中 挖 矿 ， 虽然 那 时 候 比 特 币 早已 
无 法 使 用 CPU 来 挖 矿 。 但 是 后 来 ,莱特 币 也 无 法 阻止 挖 矿 的 层 层 升级 ， 从 CPU 
到 CPU 再 到 ASIC。 每 次 莱特 币 控 矿 的 升级 ， 都 比比 特 币 花费 的 时 间 更 长 。 其 中 
原因 ， 也 许 是 因为 莱特 币 的 谜 题 ， 用 硬件 去 解 更 难 ， 或 者 由 于 莱特 币 币 值 交换 
比例 较 低 ， 使 得 矿工 缺乏 动力 ， 

不 管 是 何 种 原因 ， 从 CPU 升级 到 ASIC， 就 挖 矿 功 效 的 改进 效果 来 看 ， 莱 
特 币 与 比特 币 类 似 。 从 这 点 来 看 ， 莱 特 币 并 没有 达到 原先 设计 的 目标 : 通过 
维护 CPU 矿工 社区 ， 创造 出 一 个 用 CPU 挖 矿 的 分 布 式 体系 。 但 是 ， 重 要 的 
是 ， 这 个 理念 虽然 失败 了 ， 它 依然 吸引 并 保持 了 众多 的 追随 者 。 如 今 ， 莱 
特 币 已 经 改变 了 其 说 法 ,声称 由 于 其 并 非 采纳 ASIC， 因 此 其 初始 分 配 更 加 
公平 ， 

莱特 币 也 做 了 一 些小 的 参数 变更 ， 比 如 莱特 币 的 区 块 增长 会 比比 特 币 快 4 
信 ， 也 就 是 每 2.5 分 钟 产生 一 个 区 块 。 其 他 方面 ， 莱 特 币 都 尽 可 能 借鉴 比特 币 。 
甚至 莱特 币 的 更 新 都 跟随 比特 币 ， 比 特 币 一 有 任何 补丁 或 者 更 新 ， 莱特 币 会 同 
时 和 采用。 
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狗 币 


狗 币 (Dogecoin) 也 许 是 迄今 为 止 故事 最 精彩 的 另类 币 。 它 诞生 于 2013 
年 年 末 ， 其 突出 的 特点 不 是 技术 〈 它 是 莱特 币 的 翻版 ) ， 而 是 社区 价值 体系 : 
小 费 、 慷 慨 和 非 严 格 的 加 密 货 币 。 它 的 名 字 来 源 于 神 烦 狗 (Doge) , 一 只 有 趣 
的 在 互联 网 流行 的 日 本 柴 犬 ( 见 图 10.4)。 狗 币 团 队 发 起 过 好 几 个 有 趣 而 且 
成 功 的 广告 宣传 活动 ， 比 如 赞助 美国 纳 斯 卡车 赛 (NASCAR) 车 手 ， 让 狗 币 
的 图 案 遍 布 全 和 车。 他 们 Re 万 美元 ， 资 助 牙 尖 加 国家 雪 构 队 参 加 2014 
年 冬季 奥运 会 。 有 趣 的 是 ， 这 和 90 年 代 的 电影 酷 跑 (Cool Running) 的 故事 
情节 如 出 一 黑 





图 10.4 狗 币 的 其 中 一 个 标志 
注 : 卖 总 是 其 有 趣 幽 默 ， 而 不 是 其 技术 创新 。 狗 币 标志 ， 版 权 为 2013 ~ 2014 年 狗 币 开发 者 。 


由 于 狗 币 社区 的 慷慨 大 方 、 en pie 
流行 ， 狗 币 在 2014 年 一 度 大 受 欢 迎 。 很 多 用 狗 币 的 人 ， 之 前 都 不 知道 什么 是 
窗 贷 币 ， hat tes 
狗 币 的 发 展 。 狗 币 的 成 功 ， 说 明 一 个 货币 的 流行 也 可 以 通过 非 技 术 的 方式 来 实 
见 。 间 憾 的 是 ， 就 像 很 多 互联 网 热点 一 样 ， 狗 币 的 风靡 程度 目前 已 逐渐 减弱 ， 
其 汇 郊 比率 也 随 之 大 幅 下 降 。 
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10.3 比特 币 和 另类 币 的 关系 


我 们 可 以 用 一 系列 的 参照 标准 , 来 比较 各 类 不 同 的 另类 币 的 相对 规模 和 


景 Y M0 DD 


另类 币 比 较 

资本 市 值 

传统 上 来 说 ， 资 本 市 值 是 评估 一 个 公众 公司 的 简单 方法 ， 把 公司 股票 价格 
乘 以 总 股份 即 可 得 出 资本 市 值 。 在 另类 币 领 域 里 ， 计 算 人 资本 市 值 的 方法 类 似 ， 
即 用 每 单位 货币 的 价格 (通过 用 最 通用 的 第 三 方 交易 平台 取得 价格 ) 乘 以 流通 
中 的 总 货币 数 。 按 照 这 个 标准 ， 截 至 2015 年 ， 比 特 币 的 资本 市 值 最 大 ， 其 占 了 
所 有 加 密 货 币 总 和 90% 多 的 市 值 。 其 他 币 种 的 排名 可 能 会 经 常 变 化 ,但 是 大 部 
分 男 类 币 的 市 值 都 非常 小 。 

不 能 过 分 看 重 资本 市 值 。 首先 ， 资 本 市 值 并 不 等 于 购买 所 有 流通 中 货币 的 
总 费用 。 这 个 总 费用 可 能 比 资本 市 值 高 或 者 低 ， 因 为 大 量 的 购买 会 抬 高 该 另类 
币 的 价格 。 其 次 ， 虽然 资 本 市 值 只 考虑 流通 中 的 总 货币 量 , 但 是 市 场 参 与 者 应 
该 会 考虑 未 来 新 发 行货 币 量 对 货币 价格 的 影响 ， 这 使 资本 市 值 的 估计 更 加 复杂 。 
最 后 ， 甚 至 真实 流通 的 货币 量 也 是 无 法 准确 估计 的 ， 因 为 有 些 货币 的 主人 也 许 
丢失 了 他 们 的 私 钥 ， 但 我 们 并 不 知道 。 





挖 矿 能 力 

如 果 两 个 另类 币 用 同样 的 挖 矿 谜 题 ， 那 么 可 以 直接 对 比 每 个 货币 矿工 的 总 
挖 矿 能 力 。 基 于 哈 希 谜 题 的 影响 ， 挖 矿 能 力 这 个 指标 经 常 被 称 为 蛤 希 速 度 
(hash rate)。 比 如 ， 泽 塔 币 (Zetacoin) 用 和 比特 币 一 样 的 SHA - 256 挖 矿 谜 题 ， 
在 2015 年 12 月， 它 的 网 络 哈 希 速度 ,是 5 兆 哈 希 每 秒 ( 即 5 x 10 哈 希 / 秒 ) 。 
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这 个 数字 大 约 是 比特 币 的 十 万 分 之 一 。 如 果 两 种 货币 用 不 同 的 挖 矿 谜 题 ， 比 较 
控 矿 能 力 就 很 困难 ， 因 为 迹 题 需要 花 不 同 的 时 间 去 计算 。 而 且 ， 专 门 为 采种 任 
币 定制 的 挖 矿 硬件 不 一 定 适用 于 其 他 货币 的 挖 矿 (包括 攻击 )。 
即便 对 使 用 完全 相同 的 挖 矿 这 题 的 男 类 币 ， 我们 也 可 从 其 随时 间 而 变化 的 
控 矿 能 力 上 ， 得 知 一 些 有 用 的 信息 。 如 果 是 算 力 的 增加 ， 则 意味 着 更 多 的 人 加 
人 或 者 现 有 参与 者 升级 了 更 强大 的 硬件 设备 ; 反之 ， 如 果 是 算 力 的 减少 ， 则 意 
味 着 一 些 矿工 已 经 放弃 这 个 币 种 ， 这 通 第 是 一 种 负面 的 迹象 。 


其 他 指标 

有 几 个 其 他 指标 可 以 用 于 比较 另类 币 。 比 如 ， 另 类 币 的 汇率 变化 可 以 说 明 
其 健康 程度 ， 当 然 也 可 能 与 其 哈 希 速度 变化 有 关 ; 在 第 三 方 交易 平台 的 交易 额 
可 以 用 来 测度 这 个 货币 的 活跃 度 和 公众 对 它 的 兴趣 程度 。 然 而， 有 些 指 标 并 不 
一 定 有 用 。 比 如 ， 男 类 币 区 块 链 的 交易 量 就 并 不 能 说 明 什么 ， 因 为 这 有 可 能 是 
用 户 在 他 们 自己 的 账户 内 通过 倒转 货币 产生 的 ， 这些 内 部 倒转 其 至 可 能 是 自动 
进行 的 。 最 后 ,我 们 可 以 看 看 有 多 少 商家 和 文 付 渠 道 支 持 这 种 贷 币 ， 因 为 只 有 
优秀 的 货币 才 更 可 能 得 到 支付 渠道 的 支持 。 


比特 币 与 另类 币 互动 的 经 济 学 视角 

比特 币 和 另类 币 的 关系 很 复杂 。 一 方面 ， 作 为 加 密 货 币 ， 因 为 它们 都 可 以 
用 于 网 络 文 付 ， 它 们 相互 竞争 。 如 果 两 种 货币 提供 的 功能 相近 ， 采 用 类 似 的 标 
准 、 协 议和 规 犯 格式 ， 那 么 最 终 有 一 方 会 目 优 ， 这 就 是 经 济 学 家 所 说 的 “网 络 

举 个 例子 来 说 ， 在 2000 年 的 中 后 期 蓝光 (Blu-ray) 和 HD DVD 展开 激烈 的 
郊 争 ， 争 村 DVD 标准 的 制定 者 。 因 为 受 欢迎 的 游戏 机 PS3 (PlayStation 3) 的 主 
机 可 以 当成 蓝光 播放 需 人 使用， 渐渐 地 ， 蓝 光 开 始 变 得 更 加 流行 。 很 多 电影 制作 
商 也 由 此 更 喜欢 采用 蓝光 格式 ， 这 也 反 过 来 推动 了 蓝光 进 一 ie 随 大 更 
多 的 电影 采用 蓝光 格式 发 行 ， 更 多 的 用 户 购买 蓝光 播放 器 ， 进 一 步 导 致 更 多 的 
电影 采用 蓝光 格式 。 同 样 ， 如 果 你 的 朋友 都 用 蓝光 播放 器 ， i bj 会 买 蓝光 而 不 
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是 HD DVD 播放 器 ， 因 为 这 样 ， 你 和 朋友 互 换 电影 会 更 容易 。 因 此 ， 仪 仅 用 了 
两 年 的 时 间 ，HD DVD 就 成 了 历史 。 
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早 在 HD DVD 被 淘汰 之 前 ， 就 有 无 数 相似 的 技术 标准 被 竞争 者 迅速 取代 ， 
从 而 暗淡 地 退出 历史 有 舞台， 如 Betamax 模拟 磁带 以 及 俄罗斯 标准 铁路 轨道 等 。 
因为 网 络 效应 ， 你 可 能 没 听 过 这 些 被 蔡 代 的 东西 。 有 有 时候， 胜出 者 是 因为 其 
压倒 性 的 技术 优势 ， 就 如 同 尼 古 拉 ， 特 斯 拉 ( Nikola Tesla) 的 交流 电网 在 与 
托马斯 爱迪生 的 直流 电网 中 获得 的 优势 一 样 。 然 而 ， 大 多 数 时 候 ， 失 败 一 
方 事实 上 在 技术 上 更 胜 一 筹 ， 比 如 Betamax 磁带 就 输 给 了 VHS 磁带 ， 可 见 网 
络 效应 如 此 之 大 ， 以 至 于 微小 的 技术 劣势 可 以 忽略 。 


以 上 的 推理 说 明 ， 即 使 后 面 跟随 的 其 他 货币 在 搁 术 上 更 先进 ， 最 终 只 有 一 
个 加 密 赁 币 会 占 主 寻 地 位 〈 目 前 看 来 可 能 是 比特 币 ， 因 为 它 是 当前 最 汽 行 的 贷 
币 )。 但 如 果 仅 仅 只 是 这 样 看 行人 揪 币 之 间 的 了 苋 争 ， 那 就 会 过 于 肤浅 ， 加 密 货 币 之 
间 的 竞争 ， 之 所 以 不 像 光 盘 格 式 之 间 的 耽 争 那么 你 死 我 活 ， 至 少 有 以 下 两 个 

自 先 ， 用 户 从 一 种 加 密 扫 币 转 癌 为 一 种 相对 容易 ， 服 务 商 也 容易 接受 多 种 
加 密 赁 币 ， 这 意味 着 多 种 加 密 赁 币 更 易于 共存 和 发 展 。 加 密 货 币 的 这 种 特性 在 
经 济 学 上 被 称 为 较 低 的 转换 成 本 。 相 反 ，DVD 播放 需 的 转换 成 本 很 高 ， 因 为 绝 
大 多 数 人 不 需要 两 个 举重 的 播放 希 摆 在 家 里 ， 如 果 更 换 到 另外 一 种 播放 器 ， 也 
不 容 多 把 已 经 有 的 光盘 转化 为 为 外 一 种 格式 。 当 然 ， 加 密 货币 之 间 的 转换 成 本 
也 不 是 完全 没有 。 比 如 ， 用 户 也 许 已 经 购买 了 一 个 人 硬件 版 的 钱包 ， 如 果 转 换 其 
他 货币 ， 人 硬件 钱包 可 能 无 法 升级 转化 。 但 是 正 稼 来 说 ， 转 换 加 密 货 币 并 同时 使 
用 多 种 加 密 赁 币 是 很 简单 的 。 

其 次 ， 正 如 前 面 提 到 过 的 ， 很 多 另类 币 之 所 以 存在 ， 是 有 其 独特 的 功能 基 
础 的 。 这 些 妃 类 币 并 不 只 是 比特 币 的 替代 品 。 它 们 和 比特 币 功能 有 交叉 ， 甚 至 
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互补 。 从 这 个 角度 看 ， 可 以 功能 互补 的 另类 币 实 际 上 扩大 了 比特 币 的 用 途 ， 而 
并 不 仅仅 是 和 比特 币 竞争 。 例 如 ,假设 域名 币 成 功 了 ， 那么 比特 币 的 用 户 在 使 
用 比特 币 的 时 候 ， 就 多 了 一 个 选择 。 

当然 ， 如 果 把 它们 之 间 的 关系 都 理解 成 愉快 的 合作 共 慑 ， 也 过 于 肤浅 。 
一 些 另 类 币 ， 比 如 莱特 币 ， 就 是 想 要 用 更 加 高 效 的 方式 来 达到 比特 币 的 功能 。 
莱特 币 的 创新 功能 ， 其 实 都 可 以 在 比特 币 体 系 里 实现 ， 或 者 用 相对 举 描 的 
办 法 来 实现 〈 第 11 章 将 做 进一步 的 讨论 )。 文 持 在 比特 币 体 系 基础 上 持续 
改进 的 人 认为 ， 多 种 另类 币 分 散 了 可 用 哈 希 算 力 ， 从 而 使 每 个 独立 赁 币 不 
太 安 全 。 

相反 ， 支 持 男 类 币 的 人 则 认为 ， 男 类 币 可 以 让 市 场 决 定 什么 功能 值得 拥有 、 
什么 系统 更 加 优越 等 。 他 们 同时 还 认为 ， 多 种 为 类 币 系 统 同 时 存在 的 话 ， 可 以 
把 任何 一 个 货币 系统 灾难 性 的 损失 控制 在 一 定 范 围 内 。 他 们 也 指出 ， 比 特 币 开 
发 者 高 度 风 险 厌 恶 ， 不 管 是 通过 软 分 文 还 是 便 分 文 ， 加 入 任何 新 功能 ， 郡 是 非 
常 缓慢 和 困难 的 。 相 反 ， 在 为 类 币 上 很 容易 去 尝试 新 想法 。 因 此 ， 可 以 把 为 类 
币 视 为 比特 币 新 功能 的 实验 田 。 

实际 上 ， 最 终结 果 就 是 ， 比 特 币 和 为 类 币 的 支持 者 之 间 既 相互 苑 争 也 相互 
合作 。 


10.4 为 类 币 的 天 折 与 共同 控 矿 


本 节 和 下 节 将 继续 讨论 比特 币 和 另类 币 的 技术 相关 性 ， 而 暂时 搁置 文化 、 
政治 和 经 济 因素 。 


另类 币 的 天 折 


截至 2015 年 ， 比 特 币 的 哈 希 算 力 让 所 有 任何 其 他 另类 币 相 形 见 纳 。 事 实 
上 ， 存 在 几 个 势力 强大 的 矿工 或 者 矿 池 ， 他 们 控制 的 挖 矿 能 力 高 于 所 有 其 他 另 
类 币 的 挖 矿 能 力 总 和 。 这 样 的 矿工 或 者 矿 池 ， 可 以 轻松 攻击 一 个 小 的 另类 币 
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( 如果 他 们 也 用 和 比特 币 一 样 的 SHA - 256 控 矿 谜 题 ) ， 通 过 制造 层 品 和 大 规模 
混乱 ， 最 终 毁 了 该 另类 币 。 我 们 称 这 种 现象 为 妇 类 币 的 天 折 。 

用 宝贵 的 控 矿 算 力 去 攻击 其 他 货币 ,并 且 得 不 到 明显 的 金钱 回报 ， 为 什 
么 会 有 人 这 么 做 ? 以 2012 年 盘旋 币 (CoiledCoin) 被 攻击 为 例 : 比特 币 矿 池 
Eligius 的 总 管 认 为 ， 盘 旋 币 是 个 骗局 ， 会 对 整个 加 密 货 币 的 生态 系统 产生 冲 
击 。 所 以 ，Eligus 将 其 控 矿 资源 全 部 用 在 盘旋 币 上 ， 制 造 出 的 区 块 链 把 盘旋 币 
几 天 的 交易 给 对 冲 掉 ， 同 时 控 了 一 条 很 长 的 空 区 块 链 。 这 造成 了 其 他 盘旋 币 
用 户 无 法 再 使 用 盘旋 币 的 服务 ， 也 就 无 法 再 产生 任何 新 的 交易 。 在 盘旋 币 经 
历 了 短暂 的 攻击 后 ， 用 户 放弃 了 盘旋 币 , 它 从 此 销声匿迹 。 在 这 个 案例 ， 以 及 
其 他 类 似 的 另类 币 天 折 的 案例 里 ， 攻 击 者 都 是 出 于 金钱 以 外 的 动机 而 发 动 攻 
击 的 。 


共同 挖 矿 

如 果 一 个 另类 币 复制 了 比特 币 的 源 代 码 但 是 没有 做 任何 修改 ， 按 道理 在 
这 个 另类 币 上 的 控 矿 是 有 排他 性 的 。 也 就 是 说 ， 你 可 以 去 试图 找 控 矿 谜 题 的 
答案 从 而 找到 一 个 有 效 的 区 块 链 ， 但 是 只 能 给 另类 币 或 者 比特 币 ， 不 能 一 石 
二 鸟 。 你 可 以 把 你 的 挖 矿 资源 在 比特 币 和 为 类 币 上 做 分 配 ， 你 甚至 可 以 在 多 
种 另类 币 上 分 配 资 源 而 且 随 时 调整 配置 ， 但 是 你 无 法 让 控 矿 资源 同时 服务 于 
多 种 货币 。 

在 这 种 具有 排他 性 控 矿 的 条 件 下 ， 网 络 效应 会 使 很 多 另类 币 无 法 实现 自我 
增强 式 的 循环 发 展 。 如 果 你 开发 了 一 个 新 的 另类 币 并 成 功 说 服 当 前 的 比特 币 矿 
工 加 入 你 的 另类 币 体 系 ， 为 此 ， 他 们 必须 停止 比特 币 的 控 矿 ， 也 就 意味 着 他 们 
会 立刻 产生 相关 损失 。 因 此 ， 他 们 没有 动力 加 入 你 的 另类 币 体 系 ， 也 就 意味 着 
你 的 另类 币 很 可 能 只 有 很 低 的 哈 看 算 力 ， 也 就 很 容易 被 其 他 比特 币 矿 工 攻击 并 
天 折 。 

是 否 可 以 设计 出 这 样 一 种 另类 币 ， 它 可 以 允许 同时 在 该 币 和 比特 币 上 进行 
挖 矿 ?为 了 达到 这 个 目的 ， 则 必须 创造 出 包含 比特 币 和 该 男 类 币 相 互 交 易 的 区 
块 链 ,以 使 这 些 交 易 在 两 个 区 块 链 均 有 效 。 设计 可 使 比特 币 的 交易 出 现在 其 区 
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块 里 的 另类 币 ， 这 个 并 不 难 ， 我 们 可 以 设计 任何 想 要 的 另类 币 的 规则 。 但 反 过 
来 却 很 难 。 如 何 把 另类 币 的 交易 放 和 人 比特 币 区 块 链 上 ? 第 3 曹 和 第 8 前 已 经 介 
绍 了 如 何 把 任意 数据 放 在 比特 币 的 区 块 里 , 但 是 这 样 做 会 遇 到 比特 币 特 有 的 市 
宽 限 制 ， 即 其 数据 传输 量 非常 有 限 。 

然而 还 是 有 巧妙 的 办 法 : 虽然 不 能 把 另类 币 的 交易 内 容 放 进 比特 币 的 区 块 
里 ， 但 是 可 以 把 另类 币 的 交易 概要 以 哈 硕 指针 的 形式 放 和 人 比特 币 区 块 中 。 找 一 
个 可 以 在 每 一 个 比特 币 区 块 里 放 入 一 个 哈 硕 指针 的 办 法 很 容易 。 有 具体 来 说 ， 回 
想 一 下 本 书 曾 经 提 过 每 个 比特 币 区 块 都 有 一 个 特殊 的 交易 ， 称 为 币 基 交易 ， 也 
就 是 矿工 创建 新 的 区 块 所 得 的 比特 币 奖 励 。 这 种 交易 的 输入 脚本 (scriptSig) 区 
域 没有 任何 内 容 ， 因 此 可 以 用 来 存储 任意 数据 (当然 也 不 需要 对 币 基 交易 进行 
签名 认证 ， 因 为 没有 任何 前 序 交 易 ) 。 所 以 在 一 个 共同 控 矿 的 另类 币 体系 里 ， 挖 
人 矿 的 任务 就 是 去 计算 一 类 特殊 的 比特 币 区 块 ， 币 基 交 易 的 输入 脚本 区 域 存 有 指 
癌 另 类 币 区 块 的 哈 硕 指 针 。 

这 个 区 块 现在 可 以 喘 莱 二 职 : 对 比特 币 客户 端 来 说 ， 其 与 任何 其 他 比特 币 
区 块 没有 区 别 ， 除 了 在 币 基 交易 中 多 了 一 个 可 以 被 比特 币 忽略 的 哈 希 值 。 男 类 
币 的 用 户 知道 如 何 解 读 这 个 区 块 : 忽略 比特 币 的 交易 ， 只 看 在 币 基 交易 中 的 哈 
希 值 所 指向 的 男 类 币 的 交易 。 值 得 注意 的 是 ， 这 种 设计 不 需要 比特 币 做 任何 改 
变 ， 但 是 需要 另类 币 能 够 兼容 比特 币 ， 并 且 人 允许 共同 按 矿 。 

如 有 宁 另 类 币 文 持 共同 控 矿 ， 那 么 我 们 硕 望 很 多 比特 币 的 做工 也 参与 进来 ， 
因为 这 不 需要 花 任 何 额 外 的 哈 布 算 力 。 只 需要 增加 少量 的 运算 资源 去 处 理 区 块 
和 交易 ， 以 及 矿工 需要 知道 和 了 解 这 个 另类 有 币 ， 就 能 去 花费 精力 来 控 矿 了 。 假 
如 25% 的 比特 币 矿工 的 哈 布 算 力 同时 在 控 巡 类 币 的 矿 ， 这 说 明 ， 平均 25% 的 比 
特 币 含有 指 回 另类 币 的 指针 ， 也 就 意味 着 ， 在 另类 币 体系 里 ， 每 隔 40 分 钟 才能 
产生 一 个 新 的 另类 币 。 而 更 糟糕 的 是 ， 当 另类 币 还 在 自我 发 展 ， 并 且 只 有 小 部 
分 的 比特 币 矿工 参与 的 时 候 ， 产 生 一 个 新 区 块 需要 几 个 小 时 甚至 几 天 ， 这 种 局 
面 实在 让 人 无 法 接受 。 

有 没有 办 法 确保 参与 共同 挖 矿 的 男 类 币 的 区 块 ， 能 按照 稳定 的 速度 产生 ? 
或 者 说 ,我们 是 否 可 以 设 定 区 块 产生 的 速度 或 高 或 低 , 但 与 比特 币 中 多 少 比例 
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的 人 参与 共同 控 矿 无 关 ? 答案 是 肯定 的 。 奥 妙 在 于 ， 虽 然 另 类 币 的 控 矿 任务 和 
比特 币 一 样 ， 但 是 控 矿 的 目标 不 同 。 另 类 币 体系 计 算 的 目标 和 困难 程度 和 比特 
币 体 系 中 的 目标 和 困难 程度 都 没有 关系 。 就 如 比特 币 可 以 调整 其 计算 目标 使 每 
个 区 块 按 平 均 每 分 钟 产 生 10 个 的 速度 一 样 ， 另 类 币 也 可 以 调整 自己 的 目标 使 区 
块 在 另类 币 体 系 也 以 每 10 分 钟 或 其 他 固定 值 产生 一 个 。 

这 意味 着 ， 另 类 币 的 目标 值 要 远 远 小 于 比特 币 的 目标 值 。 部 分 ， 甚 至 是 大 
部 分 另类 币 的 区 块 将 不 会 被 有 效 的 比特 币 区 块 的 指针 指引 到 。 但 是 这 并 不 会 市 
来 问题 ， 你 只 需要 把 比特 币 区 块 链 和 另类 币 区 块 链 看 成 是 两 个 平行 并 列 的 数据 
链 ， 只 是 偶尔 有 从 比特 币 指向 另类 币 的 指针 ， 详 见 图 10.5 所 示 。 在 图 示 的 例子 
中 ，60% 的 比特 币 矿工 同 时 也 挖 男 类 币 的 矿 ， 男 类 币 大 约 5 分 钟 产生 一 个 。 这 
意味 着 另类 币 的 控 矿 难度 系数 是 比特 币 的 60% x5/10 =30% 。 图 中 40% 的 比特 
币 区 块 没 有 包含 指 辐 另类 币 的 哈 布 指针 。 











| | 另类 而 区 黄 





| 共同 挖 矿产 生 的 比特 币 


加 | 非 另 类 币 矿 工控 出 的 比特 币 
证 包 共 同 挖 矿 矿 工控 出 的 ， 由 于 不 能 满 是 比特 币 要 求 而 失败 的 比特 币 区 块 ， 但 满足 另类 币 
的 要 求 


图 10.5 共同 挖 矿 
注 : 图 中 显示 了 了 比特 币 和 另类 币 的 区 块 链 ， 以 及 它们 之 间 的 相互 作用 。 


相反 ， 每 个 有 效 的 另类 币 都 是 比特 币 控 矿 的 结果 ， 但 是 在 所 有 满足 另类 币 
的 挖 矿 算法 结果 中 ， 只 有 30% 能 达到 比特 币 的 要 求 。 对 于 另外 70% 满足 另类 币 


ww ai bbt.com DODODDDDOD 





339 


区 块 链 : 技术 驱动 金融 


要 求 却 无 法 满足 比特 币 要 求 的 区 块 ， 另 类 币 的 网 络 需 要 验证 这 些 区 块 是 否 真 的 
符合 解决 控 矿 的 谜 题 。 最 直接 的 方法 是 向 比特 币 相 邻 区 块 和 另类 币 区 块 进行 广 
播 。 更 聪明 的 方法 ， 是 只 广播 比特 币 相 邻 区 块 的 标题 部 分 和 比特 币 区 域 中 包含 
币 基 交易 的 二 进 制 证明 。 

虽然 很 罕见 ， 另 类 币 的 这 题 也 可 能 比比 特 币 更 难 。 由 于 大 部 分 另类 币 希 望 
产生 区 块 的 速度 要 快 于 每 10 分 钟 一 个 ， 这 种 情况 不 常见 。 当 然 如 果 和 希望 放 慢 束 
度 的 话 ， 也 很 容易 做 到 。 这 种 情况 下 ， 你 就 会 看 到 有 些 矿工 挖 到 比特 币 ， 希望 
这 些 也 能 成 为 男 类 币 ， 但 是 部 分 比特 币 区 块 ， 在 另类 币 网 络 中 ， 由 于 达 不 到 更 
高 的 难度 要 求 而 被 拒绝 。 

最 后 需要 指出 ， 任 意 数量 的 另类 币 都 可 以 同时 和 比特 币 共同 挖 矿 ， 每 个 矿 
工 都 可 以 自由 选择 任意 另类 币 共 同 挖 矿 。 在 这 样 多 种 另类 币 组 合共 同 挖 矿 的 情 
况 下 ， 币 基 交 易 的 输入 脚本 本 身 就 是 一 个 指向 多 种 另类 币 的 二 又 哈 希 树 结构 。 
注意 这 种 结构 的 复杂 性 ， 因 为 确认 包含 另类 币 交易 需要 确认 以 下 几 点 : (1) 二 
又 哈 希 树 包含 这 个 另类 币 的 证 明 ; (2) 二 又 哈 希 树 证 明 包 含 币 基 交 易 输入 脚本 ， 
而 且 里 面包 含 另 类 币 的 哈 希 值 ，(3) 二 又 哈 希 树 证 明 比 特 币 区 块 或 者 附近 区 块 
有 币 基 交 易 的 输入 脚本 。 


共同 挖 矿 和 安全 

共同 挖 矿 是 一 把 双 刃 剑 。 下 如 本 书 讨 论 过 的 , 它 可 以 使 一 个 男 类 币 更 易 
实现 和 白 我 增长 的 循环 发 展 ， 通 过 增加 总 算 力 从 而 提高 其 抗 攻 击 能 力 。 这 种 情 
况 下 ， 想 通过 购买 算 力 去 破坏 另类 币 的 恶意 竞争 对 手 就 需要 付出 巨大 的 前 期 
投资 ， 

男 一 方面 ， 有 人 可 能 会 认为 这 是 一 个 安全 假象 。 因 为 恶意 竞争 对 手 可 以 通 
过 共同 挖 矿 来 产生 比特 币 ， 收回 一 部 分 前 期 投资 ， 同 时 ， 使 攻击 另类 币 的 边际 
成 本 变 得 很 小 。 把 恶意 郊 争 者 看 成 规模 很 大 的 比特 币 矿 工 ， 也 许 更 易于 理解 
事实 上 ， 前 文 提 到 的 天 折 的 盘旋 币 ， 就 是 允许 共同 控 矿 的 。 攻 击 者 矿 池 Eligius 
和 参与 攻击 者 并 不 需要 停止 比特 币 控 矿 就 可 以 展开 攻击 。 事 实 上 ， 矿 池 的 参与 
者 甚至 者 不 知道 他 们 的 计算 资源 被 用 于 攻击 另类 币 . 
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第 10 
另类 币 和 加 密 货 币 生 态 系统 


人 另类 币 的 挖 矿 谜 题 趋势 


截至 2015 年 ， 无 论 是 否 允 许 共 同 挖 矿 ， 很 少 有 另类 币 使 用 和 比特 币 一 样 
的 SHA - 256 开采 难题 。 这 表明 ，SHA - 256 算法 被 认为 是 有 安全 隐患 的 。 
Scrypt 算法 是 更 受 欢迎 的 选择 ， 因 为 它 使 得 比特 币 的 ASIC 在 挖 矿 或 者 攻击 男 
类 币 上 变 得 毫 无 用 处 。 不 过 ， 用 于 莱特 币 挖 矿 所 制造 的 Scrypt ASIC 矿 机 可 用 
于 攻击 它 科 s 


站 在 一 个 理性 矿工 的 角度 ， 妆 我 们 思考 是 否 会 共同 挖 矿 时 ， 我们 会 发 现 共 
同 控 矿 有 很 多 安全 问题 ， 本 书 之 前 曾 简 上 略 地 谈 到 ， 只 有 当期 望 收益 大 于 期 望 成 
本 时 ， 挖 矿 才 有 意义 。 对 于 比特 币 挖 矿 来 说 ,成 本 主要 是 计算 哈 希 值 。 但 是 对 
比特 币 矿 工 来 说 ,决定 是 否 和 男 类 币 共 同 挖 矿 并 不 会 对 哈 希 计算 成 本 产生 影响 . 
额外 的 成 本 来 自 其 他 方面 : 计算 、 带 宽 、 用 于 验证 另类 币 交 易 的 存储 空间 ， 以 
及 需要 使 软件 实时 更 新 及 在 男 类 币 出 现 硬 分 义 或 者 软 分 又 时 ， 做 出 非 正 式 决定 

这 样 的 推理 引出 两 个 有 洞察 力 的 观点 。 第 一 ， 共 同 控 矿 有 很 强 的 规模 效应 ， 
因为 所 有 的 矿工 所 花费 的 成 本 相同 ， 不 管 其 哈 布 算 力 有 多 大 。 这 与 比特 币 有 了 明 
显 差异 ， 因 为 在 比特 币 体 系 中 ， 成 本 和 哈 硕 算 力 成 正比 。 对 于 小 的 低 价 值 另类 
币 ， 由 于 低 的 哈 硕 算 力 ， 一 个 小 的 独立 矿工 公开 控 矿 的 成 本 超过 了 回报 ， 因 此 
其 无 法 获 利 。 截 至 2015 年 ， 通 过 挖 另类 币 获得 的 收入 只 占 了 比特 币 收 入 的 很 小 
一 部 分 。 这 预示 着 ， 与 比特 币 体 系 比 ， 共 同 挖 矿 的 另类 币 将 会 更 具 中 心 化 。 

有 预测 指出 ， 大 部 分 矿工 会 选择 外 包 来 对 他 们 的 交易 进行 验证 。 另 类 币 规 
模 越 小 ， 矿 工 就 越 有 动力 去 找 外 包 。 最 简单 的 办 法 就 是 加 入 比特 币 矿 池 。 因 为 
矿 池 通常 替代 人 矿工 进行 运算 。 矿 池 管 理 员 验 证 比特 币 和 另类 币 区 块 交 易 ， 收 集 
漆 加 包含 为 类 币 的 比特 币 区 块 。 矿工 只 需 专注 于 解决 挖 矿 谜 题 并 找 出 需要 的 数 
值 。 这 个 预测 与 实际 非常 贴近 。 比 如 ，G 池 (GHash. 1I0), 曾经 最 大 的 比特 币 挖 
信 池 ， 同 时 允许 对 域名 币 、IX 币 (IXCoin) 和 Dev 币 (DevCoin) 共同 控 矿 。 这 
些 也 同时 成 为 最 受 欢 迎 的 共同 挖 矿 男 类 币 。 

第 二 个 观点 ， 从 经 济 学 的 角度 讲 ， 也 许 更 加 让 人 担心 安全 性 而 不 是 控 矿 能 
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力 太 人 集中。 如果 矿 工 的 主要 成 本 是 工作 量 证 明 , 在 这 种 模式 设计 下 ,矿工 征 无 
法 作 油 的。 在 哈 希 函数 的 安全 性 保障 下 ， 挖 矿 没有 捷径 ， 并 且 其 他 矿工 很 容 匈 
并 且 也 愿意 去 验证 工作 量 证 明 . 但 是 如 果 主 要 成 本 变 成 交易 验证 时 ， 以 上 两 个 
假设 就 不 成 立 了 。 矿工 倾向 于 假设 他 们 收 到 的 交易 都 是 有 效 的 ， 并 不 对 这 个 交 
另 做 任何 其 他 验证 。 而 且 ， 和 矿工 如 果 要 去 验证 一 个 区 块 及 其 交易 ， 其 工作 量 惑 
和 挖 矿 一 样 。 因 此 ， 可 以 预期 对 于 小 的 共同 矿工 ， 他 们 有 动机 跳 过 验证 环 克 。 
由 于 存在 不 验证 的 矿工 ， 攻 击 变 得 更 加 容易 ， 因 为 一 个 恶意 的 矿工 可 以 创造 一 
个 区 块 ， 让 其 他 矿工 对 哪 条 是 最 长 的 有 效 区 块 链 产生 和 争议。 

简 而 言 之 ， 共 同 挖 矿 在 解决 一 个 安全 问题 的 同时 ， 却 也 产生 其 他 多 个 问题 ， 
部 分 原因 是 共同 挖 矿 和 单独 挖 矿 在 经 济 收 益 上 有 更 大 差别 。 总 体 来 说 ， 考 虑 到 
挖 矿 攻击 ， 共 同 挖 矿 对 一 个 新 的 男 类 币 是 否 是 一 个 好 主意 还 很 难说 清 。 


10.5 不 可 分 割 的 交 又 链 互 换 


在 比特 币 体系 里 ， 在 不 同 个 体 或 群体 之 间 ， 达 成 一 项 交换 货币 或 资产 的 交 
易 很 直接 。 这 就 是 第 6 草 里 谈 到 的 合 币 的 原理 。 合 币 也 可 以 用 来 交易 智能 资产 ， 
第 9 章 简要 提 到 ， 第 11 章 会 再 进一步 讨论 。 本 章 前 面谈 到 的 在 域名 币 中 出 售 域 
名 也 是 基于 同样 的 原理 。 

但 是 前 面 所 有 的 例子 中 ， 即 便 涉 及 不 同 的 资产 ， 交 易 也 都 是 限制 在 单一 的 
区 块 链 里 。 一 般 来 说 ， 一 个 另类 币 的 交易 和 另外 的 其 他 另类 币 的 交易 历史 没有 
任何 关系 也 无 法 相互 参考 ， 这 是 一 个 基本 的 无 法 跨越 的 限制 。 那 么 ， 是 否 有 其 
他 办 法 可 以 互 换 不 同 的 货币 ?” 比如， 如 果 爱 丽 丝 想 卖 掉 a 个 另类 币 给 鲍 勃 ， 换 
得 鲍 动 的 b 个 比特 币 ， 他 们 可 以 把 这 项 交易 做 成 是 单一 旦 无 法 分 割 的 形式 吗 ? 
初 看 起 来 好 像 不 太 可 能 ， 因 为 无 法 强迫 不 同体 系 的 区 块 链 同时 发 生 相 关 的 交易 。 
如 果 其 中 一 人 个人， 假设 是 爱丽 丝 ， 先 执行 交易 ， 有 什么 办 法 可 以 阻止 鲍 勃 不 遵 
守 承 访 呢 ? 

有 个 聪明 的 办 法 可 以 做 到 ， 这 用 到 了 密码 学 的 承诺 和 锁定 时 间 存 储 ， 这 是 


ww ai bbt.com DODODDDDOD 





第 10 章 
另类 币 和 加 密 货币 生态 系统 


两 个 我 们 已 经 讨论 过 的 技术 。 图 10. 6 描绘 了 这 个 协议 。 暂 时 先 假 设 两 个 区 块 链 
里 的 区 块 是 按 固定 步骤 轮流 产生 的 ， 每 个 时 间 单 位 产生 一 个 区 块 。T 代表 协议 流 
程 的 开始 时 间 。 


1 爱丽 丝 创 建 如 下 a 个 另类 币 的 可 以 退还 存款 : 

1. 1 人 0 

1.2 爱丽 丝 创 建 如 下 图 所 示 存 储 A 区 块 ， 但 是 并 不 公 

1.3 爱丽 丝 创 建 再 融资 A 区 块 ， 让 鲍 勃 签名 

1.4 ”一旦 鲍 勃 在 再 融资 A 区 块 签名 ， 爱 丽 丝 公 开 存 储 A 区 块 (但 是 还 没有 公开 再 融资 A 区 块 ) 
2 鲍 勃 创建 如 下 可 以 退还 的 存款 bb 比特 币 : 

2.1 鲍 勃 创建 如 下 图 所 示 存 储 B 区 块 ， 但 是 并 不 公开 

2.2 钱 勃 创建 再 融资 B 区 块 ， 让 爱丽 丝 签名 

忆 Pee re 
3 情景 1: 爱丽 丝 按照 计划 完成 兑换 

3. 1 et 爱丽 丝 索 回 比 特 币 ， 把 x 给 鲍 勃 (和 其 他 所 有 人 ) 

3.2 在 T, 索 回 男 类 币 

情景 2， 爱丽 丝 改变 主意 ， 不 要 比特 币 “， 也 不 让 鲍 勃 知道 x 值 

3.1 在 T 鲍 勃 索 回 他 的 比特 币 

3.2 在 T, 爱丽 丝 索 回 她 的 另类 币 


存储 A[ 另 类 币 区 块 ] 再 融资 A[ 另 类 币 区 块 ] 


输入 : 爱丽 丝 的 价值 为 a 的 货币 输入 : 存储 A 
输出 脚本 : 可 以 通过 签名 A 以 及 签名 B 一 起 兑现 或 者 | | 输出 : 地 址 A 
通过 签名 B 和 xs.LH(x)=<h> 一 起 兑现 定时 :TT， 


输入 脚本 : 签名 A， 签 名 B 


存储 B[ 比 特 币 区 块 链 ] 再 融资 B[ 比 特 币 区 块 ] 


输入 : 鲍 勃 的 价值 为 hb 的 货币 输入 : 存储 B 
输出 脚本 : 可 以 通过 签名 A 以 及 签名 B 一 起 兑现 或 者 | | 输出 : 地 址 B 
通过 签名 A 和 xs.LH(x)=<h> 一 起 兑现 定时 ， T, 


输入 脚本 : 签名 A， 签 名 B 





图 10.6 不 可 分 割 的 交叉 链 互 换 协议 


D 原作 者 写 的 是 另类 币 ， 应 该 是 笔 误 .一 一 译 者 注 
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第 一 步 ， 爱 丽 丝 存储 a 价值 的 另类 币 [这 里 的 存 意 味 着 把 货币 发 给 输出 脚 
本 (ScriptPubkey) ， 并 在 里 面 注 明 只 有 两 种 情况 可 以 使 用 这 笔 货币 ]。 这 个 存 球 
只 有 通过 以 下 两 种 方法 可 以 取得 此 a 价值 另类 币 : 第 一 ， 如 有 果 爱 丽 丝 和 鲍 动 两 
个 人 都 同意 ， 他 们 可 以 取 回 。 事 实 上 ， 爱 丽 丝 只 有 在 鲍 勃 签 普 回 夭 交易 后 ， 她 
才 公 开 这 个 存款 。 这 样 就 保证 如 果 两 个 时 间 单 位 过 去 后 ， 存 球 还 没有 被 领取 ， 
她 可 以 赎 回 她 的 存款 。 

另外 一 个 办 法 是 在 任何 时 候 ， 提 供 鲍 勃 的 签名 和 x 的 值 ， 通 过 x 的 值 去 开 
启 哈 硕果 数 的 承诺 h。 注 意 ， 把 <h > 与 在 存储 A 的 区 块 里 来 表明 爱丽 丝 特意 把 
h 写 入 输出 脚本 。 因 为 只 有 爱丽 丝 知道 x， 所 以 在 最 后 阶段 ， 任 何 单独 一 方 无 法 
索取 存款 。 这 个 方法 就 是 ， 当 且 仅 当 爱 丽 丝 拿 到 比特 币 ， 鲍 劳 才 知 道 x 的 地 址 ， 
他 才能 索取 万 类 币 。 

第 二 步 大 体 是 第 一 步 的 反 向 过 程 。 鲍 勃 存 b 单位 比特 币 ， 这些 比 特 币 只 外 
在 两 种 情况 下 才能 被 取 走 。 很 重要 的 区 别 是 ， 鲍 勃 并 不 需要 创建 一 个 新 的 谜 题 。 
相反 ， 他 用 相同 的 哈 希 值 h( 把 这 个 bh 值 从 存储 A 区 块 简单 复制 到 存储 B 区 
块 )。 哈 希 值 hb 就 是 链接 两 个 区 块 链 的 钥匙 。 

这 时 ， 爱 丽 丝 有 主动 权 ， 她 可 以 临时 变 卦 。 如 宋 在 了 时 ， 爱 丽 丝 还 没有 表 
示 要 给 鲍 勃 x 值 ， 鲍 艺 可 以 简单 地 取 回 他 的 存 短 退 出 交易 。 爱 丽 丝 的 另 一 选择 
是 在 T 之 前 取 走 鲍 勃 的 比特 币 ， 但 是 她 必须 创建 并 广播 输入 脚本 ， 里 面 含 有 x 
值 。 鲍 动 看 到 这 个 广播 就 可 以 用 x 值 去 领取 爱丽 丝 的 另类 币 ， 兑 换 的 交易 完成 。 

注意 ， 如 采 爱 丽 丝 稍微 晚点 领取 鲍 苇 的 比特 币 (在 T 之 后 但 是 在 TT 之 
前 ) ， 鲍 用 可 能 同时 拿 走 两 笔 存 敌 。 类 似 地 ， 如 采 爱 丽 丝 及 时 拿 走 饱 勃 的 比特 
币 ， 但 是 鲍 动 等 太 久 还 没 取 走 爱丽 丝 的 ， 那么 爱丽 丝 也 可 以 把 两 个 都 拿 走 。 但 
这 不 是 问题 ， 只 要 保证 双方 无 法 在 协议 上 欺骗 对 方 就 可 以 ， 自 己 的 玖 忽 或 者 故 
意 怠 慢 不 是 系统 考虑 的 范围 。 

最 后 ， 区 块 在 比特 币 和 为 类 币 中 ,并 不 是 按照 固定 时 间 产 生 的 。 这 种 情况 
会 造成 一 些 混 乱 ， 特 别 是 两 个 区 块 链 没有 协调 一 致 时 。 假 设 两 个 区 块 链 各 自 平 
均 10 分 钟 产生 一 个 区 块 。 以 1 小 时 为 时 间 单 位 ， 也 就 是 说 ,需要 T, 至 少 为 现在 
为 类 币 区 块 +12,T, 至 少 为 现在 比特 币 区 块 +6， 也 许 能 带 来 更 大 安全 边际 。 
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遗憾 的 是 ， 存 在 很 小 的 可 能 性 ，12 个 另类 币 区 块 已 经 找到 ， 但 后 面 6 个 比 
特 币 还 没有 找到 。 这 时 ， 爱 丽 丝 可 以 索取 两 个 存款 。 可 以 通过 增加 时 间 单 位 来 
降低 可 能 性 ， 但 是 会 牺牲 速度 。 

这 是 一 个 清晰 明了 的 协议 , 但 是 截至 2015 年 ， 还 没有 人 用 到 。 相 反 ， 所 有 
加 密 货 tnt tiene 造成 这 种 现象 有 很 多 原因 : 
第 一 是 该 协议 的 复杂 、 不 便 和 缓慢 ; 第 二 ， 这 个 协议 可 以 防止 偷盗 货币 ， 但 是 
不 能 防范 服务 性 攻击 。 有 人 或 许 以 诱 人 的 兑换 价格 作为 广告 ， 但 是 在 协议 原型 
的 第 一 步 或 第 二 步 就 反悔 退出 ， 这 浪费 了 每 个 人 的 时 间 。 为 了 减缓 这 种 情况 ， 
也 为 了 集合 并 匹配 大 家 的 需求 ， 可 能 需要 一 个 中 心 化 的 交易 平台 (机制)， 即 使 
如 此 ， 也 不 能 完全 相信 它 不 会 偷 你 的 货币 。 这 种 情况 进一步 降低 了 该 协议 原型 
的 使 用 范围 。 


10.6 侧 链 一 一 基于 比特 币 的 男 类 币 


本 章 前 面部 分 探讨 过 给 现 有 比特 币 所 有 者 配置 新 的 另类 币 的 两 种 方法 : 或 
者 要 求 用 户 把 比特 币 销毁 从 而 得 到 另类 币 ， 或 者 简单 地 把 另类 币 发 给 现 有 比特 
币 所 有 者 ， 这 些 所 有 者 必须 拥有 还 没有 用 掉 的 比特 币 。 正 如 我 们 看 到 的 ， 任 何 
一 种 方式 都 不 需要 另类 币 的 价格 盯 住 比特 币 。 没 有 这 种 汇率 锁定 机 制 ， 在 发 展 
初期 ， 另 类 币 的 价格 会 变化 很 大 。 侧 链 (sidechains) 的 目的 就 是 避免 另类 币 价 
格 变化 太 大 ， 因 为 价格 的 波动 太 大 会 导致 很 多 问题 ， 也 会 使 另类 币 分 心 乏 术 ， 
aaa 

面 介 绍 使 另类 币 的 价格 以 固定 汇率 的 形式 上 果 住 比特 币 的 相关 技术 。 首 先 ， 

A 
单位 的 为 类 币 (或 者 固定 单位 的 男 类 币 )， 这 样 所 有 者 才 可 以 在 另类 币 区 块 链 上 
正和 背 使 用 为 类 币 。 最 后 ， 所 有 者 必须 能 够 销毁 自己 拥有 的 另类 币 ， 从 而 取 回 之 
前 存在 托管 账户 上 的 比特 币 。 这 种 构建 像 零 币 ， 通 过 托管 基础 币 而 创造 零 币 。 
区 别 在 于 ， 需 要 在 两 个 不 同 的 区 块 链 里 进行 上 述 操作 。 
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遗憾 的 是 ， 据 我 们 了 解 ， 由 于 比特 币 的 交易 无 法 被 其 他 区 块 链 的 事件 所 影 
响 ， 目 前 还 未 找到 可 以 不 改动 比特 币 而 达到 这 种 效果 的 方法 。 截 至 目前 ， 比 特 
币 的 脚本 还 没有 强大 到 可 以 确认 整个 单独 的 区 块 链 。 好 消息 是 ， 我 们 可 以 通过 
相对 实用 一 点 的 软 分 叉 来 修改 比特 币 ， 这 也 是 侧 链 的 原理 。 侧 链 的 愿景 征 ， 将 
比特 币 作 为 储备 贷 币 ,打造 多 种 共 动 发 展 、 快 速 创 新 和 实验 的 力 类 币 。 截 至 
2015 年 ， 侧 链 还 只 是 一 个 提案 。 但 是 比特 币 社区 正在 积极 参与 这 个 提案 ,目前 
已 取得 一 些 实质 性 的 进展 。 侧 链 的 提案 还 处 于 变化 之 中 ， 所 以 为 了 便于 学 习 和 
理解 ， 我 们 适当 简化 了 一 些 细 市 。 

扩展 比特 币 的 功能 ， 使 之 能 够 使 侧 链 部 换 成 比特 币 ， 最 显而易见 但 不 太 实 
用 的 办 法 和 是: 把 所 有 侧 链 的 规划， 包括 验证 所 有 侧 链 的 交易 和 检查 侧 链 的 工作 
量 证 明 ， 都 包含 在 比特 币 体系 里 。 这 个 方法 不 实用 是 因为 这 样 会 使 比特 币 扩展 
出 来 的 程序 过 于 复杂 ， 验 证 比特 币 的 节点 会 非常 困难 。 而 且 ， 链 接 上 的 侧 链 越 
多 ， 复 杂 度 和 困难 度 就 越 大 。 


SPYV 技巧 

可 以 使 用 SPV 证 明 技 巧 来 避免 这 种 复杂 局 面 。 在 第 3 章 中 ， 我 们 曾 提 到 简 
单 付 款 验证 〈Simple Payment Verification ， 简 称 SPV) 。SPV 可 用 于 小 的 客户 端 ， 
比如 手机 上 的 比特 币 应 用 程序 (APP) 。SPYV 节点 不 需要 对 其 不 感 兴趣 的 交易 做 
验证 ， 它 们 只 校 验 区 块 的 标题 。SPYV 客户 只 看 他 们 感 兴 趣 的 交易 ， 并 确信 是 在 
最 长 的 区 块 链 内 ， 并 不 担心 该 链 是 否 是 最 长 的 有 效 链 。 因 为 他 们 假定 矿工 在 创 
建 该 区 块 链 并 花 精 力 去 控 矿 之 前 ， 已 经 验证 过 里 面 的 交易 了 。 

也 许 ， 可 以 扩展 比特 币 的 脚本 让 它 能 验证 侧 链 里 某 些 特殊 的 交易 (比如 销 
毁 一 个 侧 链 币 的 交易 ) 。 在 比特 币 里 使 用 这 种 延展 命令 的 节点 ， 仍 然 会 全 面 验证 
比特 币 的 区 块 链 ， 但 是 在 侧 链 里 ， 可 能 只 会 验证 相对 轻 量 级 的 SPV。 


对 一 个 交易 提出 异议 


这 种 方法 要 好 一 些 ， 但 仍 不 完美 。 即 使 做 最 简化 的 验证 ， 比 特 币 的 节点 仍 
然 要 链接 到 侧 链 的 点 对 点 网 络 ( 每 个 链接 上 比特 币 的 侧 链 都 需要 如 此 ) ， 并 且 追 
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踪 所 有 侧 链 区 块 的 标题 用 于 决定 侧 链 最 长 的 分 支 。 最 终 我 们 想 要 的 是 : 当 一 个 
交易 要 把 侧 链 的 货币 转化 成 为 比特 币 时 ， 它 本 身 就 包含 比特 币 节 点 需要 的 用 于 
验证 其 合法 性 的 所 有 信息 ， 也 就 是 说 ， 验 证 特定 的 侧 链 是 真实 发 生 的 。 这 就 是 
SPV 证 明 的 定义 。 

这 里 介绍 一 种 可 行 的 办 法 ， 唯 一 的 缺憾 是 这 个 侧 链 的 组 成 部 分 还 在 进一步 人 研 
究 中 。 为 了 在 比特 币 里 可 以 对 照 到 侧 链 ， 用 户 必须 证 明 : (1) 侧 链 区 块 里 包含 侧 
链 交 易 ; (2) 侧 链 的 标题 表明 这 个 区 块 已 经 接受 过 一 定 次 数 的 认证 ， 这 意味 着 一 
定数 目的 工作 量 证 明 。 比 特 币 会 验证 这 些 证 明 ， 但 是 不 会 去 验证 这 个 区 块头 部 展 
示 的 链 是 最 长 的 。 相 反 ， 比 特 币 会 等 一 定 的 时 间 ， 比 如 1 ~2 天 ， 让 其 他 用 户 去 找 
证 据 证 明 ， 第 二 步 所 指向 的 区 块 标 题 并 不 在 最 长 分 支 上 。 一 旦 在 特定 时 间 范 围 内 
出 现 这 样 的 证 据 ， 比 特 币 体系 中 ， 接 受 该 侧 链 交 易 的 区 块 将 会 被 认定 为 无 效 。 

隐 含 的 逻辑 是 : 如 果 一 个 SPV 证 明 已 经 可 以 确定 ， 该 交易 不 在 最 长 分 支 上 
致使 其 不 应 该 被 认可 ， 那 么 应 该 有 一 些 侧 链 的 用 户 会 因 认 可 这 个 交易 而 遭受 损 
失 。 这 些 可 能 遭受 损失 的 用 户 ， 有 动力 去 辩驳 SPV 证 明 。 如 果 没 有 用 户 遭 受 损 
失 (也许 是 有 一 个 分 文 ， 或 者 重组 侧 链 ， 而 且 该 交易 也 恰好 在 别 的 分 支 上 ) ， 那 
接受 这 个 证 明 也 无 妨 。 

一 般 来 说 ， 系 统 这 样 设 计 ， 对 侧 链 问 题 并 非 毫 无 漏洞 ， 系 统 也 不 会 阻止 你 
目 己 搬 石 头 砸 目 己 的 脚 。 如 果 你 把 比特 币 转 成 有 加 密 隐 患 的 侧 链 ， 其 他 人 也 许 
能 偷 走 你 的 侧 链 币 然后 再 转 成 比特 币 。 或 者 ， 在 侧 链 的 控 矿 ， 也 许 会 因为 侧 链 
漏洞 而 全 部 骨 演 ， 导 致 对 应 的 比特 币 也 被 偷 。 但 是 可 以 肯定 的 是 ， 侧 链 的 问题 
不 会 毁 掉 比特 币 ; 具体 地 说 ， 不 管 侧 链 有 多 少 漏洞 ， 所 有 者 都 无 法 在 侧 链 上 竞 
现 两 次 同一 货币 ， 也 就 是 说 侧 链 不 允许 比特 币 挖 矿 。 


通过 权益 证 明 精 简 SPV 证 明 的 案例 

还 有 一 个 障碍 需要 跨越 。 有 些 侧 链 生 成 区 块 的 速度 很 快 ， 也 许 每 几 秒 钟 就 
能 产生 一 个 区 块 。 这 种 情况 下 ， 对 比特 币 节点 来 说 ， 单 单 验证 SPV 证 明 就 已 经 
负担 很 重 了 。 这 时 ， 可 以 用 一 个 比较 聪明 的 统计 学 方法 ， 大 幅 减少 对 N 个 区 块 
的 验证 ， 也 就 是 大 幅 减少 0 (N) 的 认证 次 数 。 
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原理 如 下 : 当 验 证 深 藏 在 区 块 链 中 的 一 个 区 块 ， 其 实 是 在 验证 每 个 建立 在 
这 个 区 块 上 的 所 有 的 区 块 都 符合 目标 困难 度 (target difficulty ) ， 即 满足 哈 布什 < 
目标 值 。 这 些 区 块 的 哈 希 值 均匀 地 分 布 在 (0， 目标 值 ) 的 区 域 ， 从 统计 和 学 角度 
看 ， 这 意味 着 大 约 25% 的 区 块 可 以 满足 哈 希 值 < 目标 值 /4. 事实 上 ,寻找 N/4 
个 区 块 满足 哈 希 值 < 目标 值 /4 的 工作 量 和 计算 N 个 区 块 满足 哈 布什 < 目标 值 的 
工作 量 一 样 。 这 个 数字 4 并 无 特别 ， 我 们 可 以 用 任何 数 代 符 。 





10.7 工作 证 明 跳 表 (proof-of-work skip list) 山 
注 : 区 块 包 含 指向 前 面 一 个 区 块 的 指针 和 指 回 最 近 的 满足 哈 布 值 < 目标 /4 的 指针 。 这 个 原理 可 


以 重复 运用 ， 比 如 一 个 第 三 层级 的 指针 指向 满足 哈 希 值 < 目标 值 /162， 以 此 类 推 。 


这 就 意味 着 如 果 找 到 某 种 方法 可 以 知道 哪些 区 块 满足 哈 硕 值 < 目标 值 /4 ， 
仅 验证 这 些 区 块 (或 者 区 块 的 头 部 ) 就 可 以 使 用 1/4 的 工作 量 完成 全 部 任务 。 
如 何 找到 哪些 区 块 满足 哈 硕 值 < 目标 值 /4 呢 ? 其 实 答案 在 区 块 本 身 。 图 10.7 显 
示 ， 每 个 区 块 包 含 指 向 前 面 一 个 区 块 的 指针 ， 以 及 指 回 最 近 的 满足 哈 硕 值 < 日 
标 /4 的 指针 。 

可 以 压低 目标 值 到 多 小 ? 是 否 可 以 选择 很 大 的 数 ， 让 目标 值 变 得 非常 小 ? 
答案 是 否定 的 。 这 种 方式 的 原理 就 像 矿 池 ， 却 是 反方 向 的 操作 。 在 矿 池 里 ， 矿 
池 管 理 员 验证 大 家 的 份额 ， 也 就 是 验证 这 些 难度 系数 低 (比较 高 的 目标 值 ) 的 
区 块 。 矿 工 找到 比 区 块 更 多 的 份额 ， 所 以 矿 池 管 理 员 必 须 多 做 一 道 验证 程序 的 
工作 。 这 样 做 的 好 处 就 是 ， 能 够 比较 精准 地 估计 矿工 的 哈 希 算 力 一 一 估计 值 的 
方差 较 小 。 

我 们 来 看 相反 的 交易 。 随 着 估算 建造 整个 区 块 链 的 工作 的 减少 ， 估 算 值 就 


跳 表 是 一 种 随机 化 的 数据 结构 ， 目 前 开源 软件 Redis 和 LevelDB 都 有 用 到 它 。 一 一 译 者 注 
16 是 2 的 1+3 次 方 。 译 者 注 
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有 很 大 的 方差 。 例 如 ,假设 N=4， 在 没有 使 用 跳 表 的 方案 下 ,会 检测 到 有 4 个 
区 块 满足 哈 希 值 < 目标 值 。 如 果 一 个 恶意 的 竞争 对 手 要 欺骗 我 们 ,他 需要 人 花 4 
倍 于 我 们 找到 一 个 区 块 的 平均 工作 量 才能 办 到 。 

假设 这 个 竞争 对 手 只 做 了 一 半 的 工作 。 可 以 算出 ,， 苋 争 对 手 有 14% 的 机 会 能 
找到 4 个 区 块 满足 哈 硕 值 < 目标 值 。 相 反 ， 在 跳 表 方案 下 用 4 作为 倍数 ， 竞争 对 
手 的 任务 变 成 需要 找到 一 个 区 块 ， 满 足 喻 希 值 < 目标 值 /4。 在 这 种 情况 下 ， 人 懒惰 
的 只 做 了 一 半 工 作 的 竞争 对 手 ， 却 有 40% 的 机 会 骗 过 我 们 ， 而 不 仅仅 是 14% 。 


10.7 以 太 坊 和 智能 合约 


我 们 已 经 介绍 了 几 种 用 比特 币 的 脚本 语言 写 出 有 趣 的 应 用 的 方法 ， 如 有 托 
管 功能 的 支付 交易 。 我 们 也 看 到 比特 币 脚本 语言 的 一 些 瓶 贷 : 只 有 很 少 的 指令 ， 
并 不 符合 图 灵 计 算 的 标准 。 因 此 ， 很 多 新 的 另类 币 增添 与 应 用 程序 相关 的 特 丈 
功能 。 域 名 币 是 第 一 个 尝试 ， 后 来 又 有 许多 加 密 货 币 ， 类 似 于 比特 币 但 是 支持 
赌博 、 股 票 发 行 、 市 场 预测 等 ， 

设想 我 们 不 需要 为 了 每 个 应 用 程序 ， 每 次 都 建设 一 套 新 的 系统 ， 而 是 创造 
出 一 个 加 密 货 币 系 统 ， 以 文 持 所 有 未 来 可 以 想象 到 的 任何 应 用 。 这 就 是 所 谓 的 
图 灵 人 完备 一 一 据 我 们 理解 ， 满 足 图 灵 完 备 标准 的 编程 语言 ， 可 以 让 你 写 出 图 灵 
机 可 以 完成 的 任意 功能 ， 它 可 计算 的 水 数 和 图 灵机 可 计算 的 函数 是 完全 相同 的 。 
因此 ， 每 一 图 灵 完 备 的 编程 语言 一 一 包括 我 们 熟悉 的 Java、Python 和 Lisp 一 一 都 
是 图 灵 等 价 的 。 如 果 不 考 虑 实际 中 的 简单 性 和 表现 ， 岁 灵 完 备 是 我 们 在 编程 语 
言 有 关 表 达能 力 上 需要 的 最 好 的 性 质 。 

从 某 种 程度 上 讲 ， 今 天 加 密 货币 的 发 展 使 人 回想 起 20 世纪 40 年 代 早 期 计 
算 机 发 展 的 时 代 : 在 第 二 次 世界 大 战 时 ， 建 造 大 量 的 复杂 的 只 有 某 种 特定 功能 
的 计算 需 《〈 比 如 用 于 暴力 破解 密码 的 机 需 和 海军 用 于 确定 发 射 弹 道 轨 道 的 机 
修 ) ， 这 些 工作 促使 研究 专家 致力 于 建造 第 一 个 可 重复 编程 的 通用 计算 机 。 任 何 
可 预见 的 应 用 程序 都 可 以 使 用 该 计算 机 〈 见 图 10.8) 。 
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图 10.8 在 布 莱 切 利 园 ( Bletchley Park) 博物 馆 重建 的 炸弹 机 ee 

注 : 炸弹 机 是 一 个 由 阿兰 图 灵 (Alan Turing) 设计 的 特殊 功能 的 高 级 计算 机 ， 用 于 破解 德国 的 
英 格 玛 (Enigma) 密码 。 通 用 计算 机 取代 类 似 炸 弹 机 的 精巧 装备 ， et 
取代 特殊 功能 的 另类 币 呢 ? 


以 太 币 (Ethereum) 是 一 种 雄心 勃勃 的 另类 币 ， 致 力 于 提供 一 种 满足 图 灵 
inl 种 语言 可 以 编写 脚本 或 者 合约 。 虽 然 有 其 他 方案 
可 以 做 到 这 一 点 ,但 是 以 太 坊 无 疑 是 最 引 人 注 目的 : 它 使 用 了 几 个 创新 的 技术 ， 
成 功 地 完成 了 众 筹 ， 在 儿 个 月 内 筹资 两 千 万 美元 ,并且 采 用 激进 的 参数 ， 比 如 
使 用 较 短 的 产生 区 块 的 时 间 参 数 。 以 太 坊 系统 本 身 很 复杂 ， 需 要 再 编写 一 本 新 
的 教材 才能 完整 阐述 ， 本 节 只 做 向 要 讨论 。 


智能 合约 编程 模式 

智能 合约 最 初 是 用 来 指使 用 计算 机 系统 (或 者 其 他 自动 化 方式 ) 来 执行 合 
约 。 例 如 ， 你 可 以 把 自动 售 贷 机 看 成 一 个 销售 商品 的 智能 合约 ， 执 行 的 就 是 你 
和 机 需 主 人 之 间 关 于 如 何 购买 一 个 糖果 的 合约 。 

在 以 太 坊 体系 ， 一 个 合约 就 是 一 个 存在 区 块 链 里 的 程序 。 任 何人 支付 一 点 
费用 ， 就 可 以 用 特定 的 操作 将 他 的 程序 上 传 ， 建 立 一 个 以 太 坊 合约 。 这 个 合约 
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是 用 字 节 码 (bytecode) 写 的 ， 可 以 被 特殊 的 以 太 坊 专用 虚拟 机 (Ethereum-spe- 
cific Virtual Machine， 简 称 EVM) 执行 。 一 旦 合约 上 传 , 便 永远 存在 在 区 块 链 
里 。 智 能 合约 有 它 自己 的 资金 账户 ， 其 他 用 户 可 以 调用 程序 里 面 开放 的 应 用 程 
序 编程 接口 (API) ,合约 可 以 收发 蒜 项 . 


一 个 简单 的 例子 : 以 太 坊 中 的 域名 币 
我 们 说 以 太 坊 可 以 用 来 执行 任何 特定 应 用 的 为 类 币 功 能 。 举 个 简单 的 例子 
我 们 可 以 展示 使 用 一 个 简单 的 以 太 坊 合约 ,来 构建 出 域名 币 形式 的 功能 
图 10. 9 所 示 就 是 一 个 构建 的 案例 。 它 是 以 “稳健 - 滞 言 (Solidity) 编写 ， 
“稳健 ”是 以 太 坊 里 用 于 定义 合约 的 高 级 编程 语言 。 这 个 合约 产生 一 个 原始 的 域 
名 /数值 (name/value) PE 名 字 水 远 连 痢 数字 。 这 个 合约 定 
义 了 一 个 数 衬 变量 ， 里 面 有 32 比特 长 字 节 和 公开 








密 钥 的 配对 关系 。 初 始 时 期 ， 每 个 字 下 和 看 空地 址 0 x0000000…000。 这 
个 合约 同时 定义 了 单一 入 口 点 ， 叫 “用 户 名 称 ”(claimName) 。 这 个 人 口 点 只 


接受 名 字 参 数 。 首 先 ， 这 个 合约 确认 调用 这 re 
wei。wei 是 在 以 太 坊 里 最 小 的 货币 单位 。 如 果 没 有 支付 10wei, 合约 自动 终止 
并 发 出 错误 信号 (“throw” 的 编程 命令 就 做 这 些 ) 。 如 果 足 人 够 的 wei 已 经 发 出 
而 且 这 个 名 字 还 没有 被 注册 ,那么 这 个 名 罕 就 和 调用 的 地 址 永久 地 联系 在 
一 起 。 


contract NameRegistry { 
mapping(bytes32 => address) public registryTable; 
function claimName(bytes32 name) { 
if (msg.value < 16) { 
throw; 
} 
if (registryTable[name| == 6) { 
registryTable[name|] = msg.sender; 


} 


10.9 一 个 用 于 实现 域名 注册 功能 的 简单 以 太 坊 智能 合约 
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以 上 就 是 这 个 8 行 代码 的 合约 能 做 的 事 。 我 们 还 可 以 多 花 点 时 间 ， 把 其 他 
域名 币 有 的 功能 都 在 这 个 合约 里 实现 。 比 如 ， 可 以 存储 拥有 者 地 址 以 外 的 信息 ， 
通过 存储 上 次 更 新 时 间 来 要 求 域名 的 主人 定期 地 重新 注册 ， 并 且 人 允许 其 他 用 户 
拥有 长 期 不 更 新 的 域名 权 。 

我 们 还 可 以 加 第 二 个 功能 ， 人 允许 钱 回 撤 。 按 照 初始 的 代码 设计 ， 钱 只 能 不 
断 堆 积 在 合约 里 ， 也 就 意味 着 从 流通 中 消失 。 当 然 , 在 可 以 回 撤 钱 的 程序 里 ， 
最 好 能 设 定 ， 调 用 回 撤 的 是 合约 的 主人 。 任 何人 在 以 太 坊 都 可 以 调用 任何 方程 ， 
但 是 用 户 是 指定 的 ， 所 以 能 确认 谁 是 真正 调用 方程 的 人 。 


燃料 、 激 励 和 安全 

和 比特 币 不 一 样 的 是 ， 以 太 坊 支持 循环 语句 ， 虽然 第 一 个 例子 里 并 不 需要 
循环 。 循 环 语句 一 听 就 容易 让 人 产生 警觉 ， 因 为 有 循环 的 地 方 就 会 有 无 限 死 循 
环 。 从 根本 上 说 ， 以 太 坊 合约 有 可 能 因为 种 种 原因 而 无 限 循环 。 计 算 机 领域 里 
一 个 闭 名 的 人 研究 结果 (难以 判断 的 终止 问题 ) 证 明 ， 不 存在 任何 算法 ， 可 以 根 
据 源 代码 去 判断 一 个 程序 是 否 可 以 无 限 运行 下 去 。 因 此 ， 我 们 如 何 防止 合约 无 
限 运 行 下 去 呢 ? 

更 进一步 讲 ， 即 使 条 约 不 会 无 限 运行 ， 也 需要 某 种 方式 来 限制 它 不 会 运行 
太 久 。 以 太 坊 体系 通过 一 种 称 作 “燃料 费用 ”的 机 制 来 实现 这 一 点 。 简 单 地 说 ， 
每 执行 一 条 虚拟 机 器 的 指令 需要 花费 一 小 部 分 的 成 本 费用 ， 我 们 称 之 为 “燃料 
费用 。 不同 的 操作 花费 不 同 。 基 本 的 像 加 减 操作 只 人 花费 1 单位 燃料 费用 ， 而 计 
算 SHA -3 哈 硕 值 (内置 晤 数 ) 需要 20 单位 燃料 费用 ， 在 永久 存储 器 上 写 256 
比特 长 的 字符 需要 100 单位 燃料 费用 。 每 笔 交 易 也 需要 先 支 付 21 000 单位 燃料 
费用 。 你 可 以 把 以 太 坊 体系 想象 成 超级 折扣 的 航空 公司 。 机 票 只 是 你 支付 乘 飞 
机 的 费用 ， 任 何其 他 需求 部 要 多 付 钱 。 完 整 操作 清单 和 固定 的 燃料 费用 都 可 以 
从 以 太 坊 里 找到 。 任何 清单 和 费用 的 变动 都 需要 以 太 坊 产 生 一 个 硬 分 又 ， 这 和 
比特 币 脚本 语言 的 语义 改变 一 样 

燃料 爱 用 是 通过 以 太 坊 体系 内 部 被 称 为 以 太 (ether) 的 货币 来 支付 的 。 它 
只 是 在 用 来 文 付 合约 操作 的 时 候 才 叫 燃料 费用 。 每 笔 交 易 都 规定 了 燃料 的 价格 ， 
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也 就 是 说 ， 每 份 燃料 需要 多 少 以 太 。 人 燃料 费 用 就 像 比 特 币 的 交易 费 ， 矿工 可 以 
自由 公布 交易 的 燃料 费用 ， 每 个 矿工 都 可 以 独立 地 决定 收费 方式 。 这 样 会 得 出 
一 个 反映 市 场 供求 关系 的 燃料 市 场 价 格 。2016 年 年 初 ， 昌 然 以 太 坊 网 络 体系 还 
是 属于 实验 阶段 ， 市 场 已 经 默认 50 gigawei 为 1 单位 价格 。50 gigawei 等 于 5 x 
10 习 以 太 , 根据 以 太 币 和 比特 币 2016 年 1 月 的 汇兑 比例 ， 这 也 就 是 大 约 3 x 
10 “比特 币 。 

每 次 调用 之 前 ， 必 须 设 定 燃 料 费 用 的 最 高 限 ， 也 就 是 愿意 支付 价格 的 最 大 
值 。 当 达到 这 个 值 (燃料 用 完了 ) ， 程 序 就 会 终止 ， 发 生 的 所 有 程序 状态 的 变化 
就 会 被 重新 设置 到 原始 状态 , 但 是 矿工 还 是 保留 燃料 。 由 此 可 见 ， 不 要 用 完 燃 
料 ， 这 一 点 非常 重要 。 

燃料 的 使 用 要 求 ， 意 味 着 以 太 坊 不 适合 很 耗费 资源 的 计算 。 以 太 坊 系统 未 
被 设计 成 像 云 计算 那样 的 服务 ， 即 支付 一 定 的 费用 让 云 服务 完成 自己 无 法 做 到 
的 计算 。 像 亚马逊 的 弹性 计算 云 或 者 微软 云 计算 平台 ， 提 供 划 算 百 万 倍 的 计算 
量 。 男 一 方面 ， 以 太 坊 更 加 适合 创建 安全 逻辑 协议 。 本 质 上 来 说 ， 以 太 坊 提供 
了 一 种 两 个 或 者 多 个 匿名 交易 者 可 以 信赖 的 服务 系统 。 

以 太 坊 上 区 块 链 的 安全 还 没有 像 比特 币 一 样 完 善 。 理 论 上 ， 以 太 坊 比较 复 
杂 ， 也 比较 难以 用 数学 推理 来 论证 。 实际 上 上， 以太 坊 才刚 刚 开 始 发 展 ， 其 安全 
性 还 没有 像 比特 币 一 样 经 过 很 多 考验 。 尤 其 是 ， 担 心 处 理 交 易 的 成 本 会 让 类 似 
比特 币 的 激励 机 制 失效 ,我 们 在 共同 挖 矿 的 分 析 中 讨论 过 存在 这 种 担心 的 情况 。 
当 交 易 成 本 占 矿工 的 总 成 本 的 比重 不 青 能 忽略 不 计 的 时 候 ， 大 的 矿工 有 明显 优 
势 ， 因 为 成 本 和 哈 希 算 力 相互 独立 。 更 重要 的 是 ， 燃 料 只 支付 给 最 初 包括 该 交 
吻 的 区 块 的 挖 工 。 但 是 所 有 的 在 这 之 上 建立 区 块 的 矿工 都 必须 验证 该 区 块 ， 却 
得 不 到 任何 报酬 。 这 意味 着 ， 他 们 将 有 动力 去 跳 过 该 验证 。 正 如 之 前 所 看 到 的 ， 
这 种 情况 不 利于 区 块 链 体系 的 健康 发 展 。 


第 二 个 例子 : 以 太 坊 体系 中 的 国际 象棋 
我 们 还 没 涉及 以 太 坊 中 新 功能 如 何 运 用 ， 所 以 让 我 们 看 第 二 个 案例 。 假 设 
爱丽 丝 和 鲍 动 下 国际 象棋 ， 周 注 是 一 定数 额 的 金钱 。 唯 一 的 问题 是 爱丽 丝 和 鲍 
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勃 生 活 在 不 同 的 国家 ， 他 们 都 不 相信 对 方 输 了 会 文 付 财 注 。 这 个 问题 可 以 用 以 
太 坊 来 解决 

爱丽 丝 写 下 以 太 坊 程序 ， 这 个 程序 设 定 了 国际 象棋 的 规则 并 且 被 上 传 到 以 
太 坊 网 络 。 她 给 这 - 个 合约 支付 -定数 量 的 以 太 作 为 峭 注 。 鲍 勃 可 以 看 到 这 个 合 
约 、 如 果 他 答应 接受 挑战 ， 他 把 他 的 赌注 文 付 给 这 个 合约 ， 就 等 于 开始 了 这 个 
游戏 。 鲍 勃 在 接受 挑战 之 前 应 该 确认 ， 这 个 合约 是 准确 无 误 地 这 守 了 国际 象棋 
的 规则 ， 并 且 最 后 会 把 所 有 赌注 文 付 给 获胜 者 

一 旦 双方 都 支付 了 赌注 ,假设 他 们 约定 下 同样 的 赌注 ， 合 约会 检查 双方 的 
赌注 是 否 相 等 。 这 时 候 ， 游 戏 就 开始 了 。 任何 一 方 除非 访 了 了 游戏， 否则 无 法 从 
合约 里 取出 钱 来 。 其 他 人 在 任何 情况 下 也 无 法 取得 这 笔 钱 。 

爱丽 丝 和 鲍 勃 轮流 把 自己 的 下 模 步 骤 发 给 这 个 合约 。 这 个 合约 也 会 检查 轮 
到 谁 下 确保 指令 是 由 爱丽 丝 或 者 鲍 勃 发 出 ， 而 不 是 其 他 人 。 大 家 是 否 还 记得 调 
用 者 需要 在 每 个 操作 〈 促 使 合约 执行 一 个 动作 ) 上 签名 ， 因 为 合约 可 以 根据 签 
名 确认 调用 者 。 合 约 也 会 根据 国际 象棋 的 规则 校 验 双方 的 步 又。 如 果 一 方 试图 
把 兵 移 动 3 格 ， 合 约会 拒绝 该 步 又 。 
到 最 后 游戏 结束 。 合 约 在 每 一 步 都 会 检测 是 否 有 一 方 被 将 军 ， 或 者 双方 打 
， 或 者 满足 其 他 打 平 的 条 件 。 玩 家 也 可 以 发 送 投 唆 的 指令 。 当 游戏 结束 时 ， 
合约 终止 ， 人 获胜 者 ， 或 者 平局 下 平分 赌注 。 

从 概念 上 看 ， 这 是 一 个 以 太 坊 的 简单 应 用 ,但 是 有 很 多 微妙 的 地 方 值 得 探 
讨 。 如 果 一 方 快 输 了 他 就 放弃 了 ?合约 应 该 设 定 一 个 机 制 ， 如 果 一 方 在 规定 的 
时 间 没 有 提交 有 效 的 下 一 步 ， 钱 就 文 付 给 男 一 方 。 

哪个 玩家 先 走 呢 ?” 白 方 先 走 的 话 ， 昌 方 就 拥有 微小 的 优势 。 因 此 ， 双 方 都 
想 做 日 方 。 这 就 碰 到 了 以 太 坊 合约 的 一 个 难题 : 没有 内 置 的 随机 源 。 之 所 以 是 
一 个 难题 ， 是 因为 随机 数 发 生 硕 震 要 所 有 矿工 的 检验 (因为 他 们 需要 检验 合约 
是 否 正确 地 执行 )， 但 是 这 些 随 机 数 对 任何 人 来 说 都 是 不 可 预测 的 〈 和 否则 的 话 ， 
玩家 也 许 就 因为 不 能 先 走 而 拒绝 参加 这 个 游戏 )， 

随机 数 “ 信 和 号 塔 ”(randomness beacons) 可 以 解决 这 个 问题 。 正 如 9.4 节 讨 
论 的 ， 在 双方 都 加 入 游戏 后 ， 合 约 计算 区 块 链 下 一 个 区 块 的 哈 希 值 。 对 这 个 特 


> 
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定 的 游戏 应 用 而 言 ， 这 个 问题 比较 容易 解决 ， 因 为 只 要 让 爱丽 丝 和 鲍 动 双 廊 确 
言 决定 谁 先 谁 后 是 随机 的 ， 这 样 就 满足 要 求 ， 而 不 需要 癌 所 有 人 证 明 。 所 以 他 
们 可 以 采用 9.3 节 的 办 法 : 他 们 两 个 同时 提交 一 个 随机 数 的 哈 布什 ,并 且 公 开 
他 们 的 输入 值 ， 然 后 从 双方 的 输入 总 值 算出 随机 数 。 实 际 操作 中 ， 以 上 两 种 方 
法 都 可 以 使 用 。 


其 他 应 用 

下 棋 也 许 很 有 趣 ， 但 是 真正 激动 人 心 的 是 以 太 坊 在 金融 领域 的 应 用 。 我 们 
在 课本 里 讨论 的 大 部 分 应 用 ， 包 括 市 场 预计 、 智 能 资产 、 托 管 文 付 、 微 文 付 典 
道 和 混合 服务 ， 都 可 以 在 以 太 坊 体系 里 实现 。 这 些 应 用 都 有 其 细微 的 区 别 ， 但 
是 相对 比特 币 死 板 的 协议 ， 大 多 数 情况 下 ， 这 些 应 用 都 能 相对 容易 地 在 以 太 坊 
体系 内 完成 。 

以 太 坊 的 状态 和 账户 余额 。 第 3 章 中 ， 我 们 讨论 了 账本 的 两 种 方法 : 基于 账 
户 和 基于 交易 。 在 一 个 基于 交易 的 账本 中 ， 如 比特 币 ， 区 块 链 只 存储 交易 (加 
上 一 些 少 量 的 转载 标题 的 设置 数据 ) 。 为 了 方便 验证 交易 ， 比 特 币 的 币值 是 无 法 
分 割 的 ， 即 交易 的 结果 必须 整体 被 消费 ， 可 以 自己 消费 ， 或 者 如 果 需 要 的 话 ， 
换 地 址 消费 。 交 易 实际 上 是 在 全 球状 态 表 上 操作 的 ， 这 个 表 称 为 “未 花费 交易 
全 出 列表 ”。 但 是 比特 币 的 协议 并 没有 明确 规定 这 个 全 球状 态 表 。 全 球状 态 表 的 
产生 纯粹 是 矿工 为 了 加 快 验证 过 程 而 创造 出 来 的 。 

男 一 方面 ， 以 太 坊 则 是 基于 账户 的 模式 。 由 于 以 太 坊 已 经 存储 了 合约 地 址 
和 状态 的 对 照 表 的 数据 结构 ， 很 自然 地 也 同时 存储 每 个 普通 地 址 (或 者 叫 拥有 
者 的 地 址 ) 的 账户 余额 ， 这 意味 着 ,与 非 闭环 式 的 交易 支付 模式 必须 有 输入 和 
输出 不 同 ， 以 太 坊 存储 每 个 地 址 的 账户 余额 ， 这 一 点 ， 与 银行 存储 每 个 账户 余 
额 的 方式 类 似 。 

以 太 坊 的 数据 结构 ， 在 第 3 章 ， 我 们 提 到 基于 账户 的 账本 需要 精心 设计 的 
效 据 结构 来 存储 记录 。 以 太 坊 就 有 这 样 的 数据 结构 。 具 体 来 说 ， 每 个 区 块 包含 
每 个 地 址 的 目前 状态 (账户 余额 和 交易 数 ) 的 摘要 ， 同 时 也 包含 每 个 合约 的 状 
仿 (余额 和 存储 空间 )。 每 个 合约 的 存储 树 结构 映 射 256 比特 的 地 址 和 256 比特 
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的 字 节 。 这 样 可 以 存储 巨 量 的 (2” x256 =2”) 信息 。 当 然 ， 这 只 不 过 是 理论 
上 的 可 能 空间 ， 我 们 不 会 用 到 这 么 大 的 存储 空间 。 数 据 结构 里 面 提 供 的 摘要 ， 
使 验证 一 个 地 址 有 多 少 余额 或 者 空间 变 得 相对 容易 。 比 如 ， 不 需要 鲍 盈 从 涉 到 
尾 扫描 整个 区 块 链 ， 爱 丽 丝 就 可 以 同人 鲍 勃 证 明 她 有 多 少 余 额 。 

此 时 ， 比 特 币 用 简单 的 二 项 梅 殉 尔 树 的 结构 可 以 派 得 上 用 场 。 因 为 它 可 以 
把 有 效 的 证 明 数 据 存 在 该 区 块 里 (要求 矿 工 确信 对 于 相同 的 地 址 ， 每 个 树 状 数 
据 结构 都 要 求 该 地 址 相同 的 状态 ) 。 但 是 我 们 也 和 硕 望 能 够 更 快 地 查询 地 址 并 且 能 
够 有 效 更 新 地 址 的 数值 。 为 了 达到 这 个 目的 ， 以 太 坊 使 用 比较 复杂 的 树 状 结构 ， 
叫 帕 特 里 夏 树 ( Patricia tree) 、 前 级 树 (prefix tree) 、 宁 和 典 树 (trie) 或 基数 树 
(radix tree ) 。 每 个 以 太 坊 区 块 包 含 梅 克 尔 - 则 特 里 夏 树 ( Merkle Patricia tree ) 
的 树 根 ， 它 保存 每 个 地 址 的 状态 ， 也 包含 合约 地 址 。 每 个 合约 的 状态 ， 包 含 一 
个 树 状 数据 结构 用 来 保存 合约 的 存储 状态 。 

基于 账户 账本 的 另 一 个 不 吻 处 理 的 问题 是 防止 重复 攻击 。 在 比特 币 里 ， 每 
个 交易 都 使 用 “未 花费 交易 输出 列表 ”输入 ， 因 此， 任何 相同 签名 认证 过 的 交 
易 ， 不 可 能 被 重复 使 用 两 次 。 但 是 在 以 太 坊 设计 里 ， 需 要 确保 当 爱 丽 丝 签 下 支 
付 给 鲍 勃 1 以 太 交 易 的 时 候 ， 鲍 动 不 能 一 次 又 一 次 地 对 外 广播 并 重复 使 用 这 个 1 
以 太 , 直到 把 爱丽 丝 的 账户 用 光 .。 这 样 的 交易 不 能 重复 ， 因 为 一 旦 使 用 了 ， 爱 丽 
丝 的 交易 计数 会 增加 一 次 ， 而 这 个 交易 计数 是 一 个 全 局 的 状态 参数 。 

总 的 来 说 ， 以 太 坊 使 用 比比 特 币 更 加 强大 的 数据 结构 来 管理 它 的 账本 。 虽 
然 我 们 没有 深入 人 研究 它 的 数据 结构 ， 但 我 们 知道 ， 这 个 数据 结构 使 得 账户 、 合 
约 ， 以 及 交易 相关 声明 的 有 效 验 证 变 成 可 能 。 


以 太 坊 项 目 

以 太 坊 最 早 于 2013 年 年 未 开始 讨论 ， 并 于 2015 年 第 一 次 发 布 ， 代 号 先行 者 
( Frontier) 。 以 太 坊 米 用 预 售 的 方式 ， 以 固定 比特 币 价 格 公 开 出 售 ， 并 把 所 有 的 
预 售 款 投入 以 太 坊 基 金 会 。 

和 其 他 另类 币 相 比 ， 以 太 坊 发 展 比较 缓慢 ， 这 也 反映 了 以 太 币 是 一 个 比较 
复杂 的 系统 。 己 比特 币 相 比 ， 以 太 坊 增加 以 太 坊 专用 虚拟 机 (EVM) ,一 个 全 新 
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编程 模式 ， 一 个 全 新 的 数据 结构 。 此 外 ， 以 太 坊 还 对 比特 币 的 共识 模式 做 了 大 
的 修改 。 每 个 区 块 产生 的 时 间 不 是 10 分 钟 ， 而 是 12 秒 。 在 以 太 坊 体系 里 ， 过 
时 区 块 的 比例 高 于 比特 币 体系 ， 为 了 减少 过 时 的 区 块 对 系统 的 影响 ， 以 太 坊 采 
用 另 一 个 叫 “ 精 灵 ” (GHOST) 的 协议 来 计算 共识 分 支 。 同 时 ,以 太 坊 采用 不 
同 的 工作 量 证 明 。 目 前 采用 的 是 一 个 混合 的 哈 硕 方程 ， 被 设计 成 只 能 用 记忆 体 
计算 。 未 来 以 太 坊 计划 转 为 通过 权益 证 明 份 额 证 明 的 体系 。 

以 太 坊 呈现 出 和 比特 币 在 设计 理念 上 的 巨大 差异 。 以 太 坊 项 目 由 非 营利 机 
构 主 导 并 且 在 规划 和 决策 上 相对 比较 集中 ， 它 们 根据 历史 经 验 对 以 太 坊 协议 进 
行 修改 ， 并 且 都 有 一 个 公开 的 时 间 表 。 按 规划 ， 将 来 也 会 有 硬 分 又 。 而 且 ， 所 
有 以 太 坊 合约 都 要 在 版 本 更 新 前 销毁 。 所 以 ， 以 太 坊 还 是 一 个 未 来 会 有 很 多 变 
更 的 实验 性 体系 。 截 至 2015 年 ， 投 入 大 量 精 力 在 以 太 坊 上 并 构建 真正 有 用 的 应 
用 ,现在 看 来 是 有 点 太 早 。 但 是 以 太 坊 无 疑 是 一 个 非常 有 潜力 的 系统 。 也 许 这 
本 书 未 来 的 版 本 将 会 命名 为 “以 太 坊 和 加 密 货 币 技 术 ”。 

本 章 主要 讨论 了 比特 币 如 何 成 为 其 他 加 密 货 币 和 另类 币 的 重要 组 成 部 分 。 
它们 在 各 方面 相互 竞争 、 合 作 并 且 相 互 影 响 ， 有 些 相 辅 相 成 ， 有 些 是 相互 阻碍 。 
在 未 来 ， 可 能 会 出 现 新 的 技术 ， 使 得 在 一 种 区 块 链 可 以 直接 引用 另 一 个 区 块 链 
的 交易 。 

但 截至 目前 ， 有 些 问题 仍然 悬而未决 。 另 类 币 会 演变 并 相互 合并 ， 最 后 成 
为 少数 另类 币 主 宣 的 生态 系统 吗 ? 还 是 和 现在 一 样 多 样 化 ? 特定 功能 的 另类 币 
会 蓬 支 发 展 ， 还 是 以 以 太 坊 为 标志 的 通用 编程 平台 最 后 成 为 主流 ? 比特 币 和 男 
类 币 之 间 的 相互 影响 是 有 益 的 吗 ? 每 个 另类 币 之 间 应 该 相互 独立 ， 比 如 用 不 同 
的 挖 矿 谜 题 而 不 是 去 共同 挖 矿 ?我 们 现在 无 法 回答 上 述 这 些 问 题 ， 但 我 们 已 经 
讨论 了 所 有 这 些 你 需要 理解 和 评估 的 重要 概念 。 
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这 本 书写 到 这 里 ， 我 们 已 经 研究 了 比特 币 和 区 块 链 技术 截至 2015 年 的 最 新 
状态 。 本 章 将 讨论 的 是 ， 比 特 币 在 未 来 会 怎么 样 。 我 们 恪守 感言 “ 绝 不 预言 ， 
特别 是 预言 未 来 "” ， 所 以 我 们 不 会 声称 知道 比特 币 未 来 会 怎么 桩 。 因 而 我 们 在 本 
草 标题 使 用 了 问号 。 

但 是 我 们 继续 本 书 中 一 直 坚 持 的 学 术 探 讨 风 格 ， 用 以 人 研究 未 来 的 科技 。 比 
特 币 的 未 来 充满 7 了 热情 和 叹为观止 的 未 来 科技 曾 命 的 前 景 。 本 草 可 以 写成 一 个 
宣言 ， 但 我 们 不 准备 这 么 做 。 我 们 找 出 知名 的 方案 ， 用 谨慎 冷静 的 方法 对 它们 
分 类 ， 并 批判 地 分 析 它 们 的 相对 优势 和 劣势 。 

比特 币 是 一 个 内 容 丰 富 的 课题 ， 它 包含 了 协议 本 身 及 其 成 为 新 应 用 平台 的 
潜在 可 能 性 。 本 和 草 的 重点 不 在 于 比特 币 协议 的 未 来 。 虽 然 我 们 意识 到 有 很 多 影 
响 比 特 币 未 来 且 值 得 研究 的 方面 ， 比 如 ， 比 特 币 的 管理 、 效 率 、 扩 展 性 和 功能 

人 

我 们 会 看 重 讨论 比特 币 如 何 成 功 地 成 为 去 中 心 化 的 货币 ， 它 的 成 功 经 验 能 
促使 我 们 重新 思考 其 他 中 心 化 的 机 构 一 一 比如 从 事 股 票 、 债 券 、 资 产 产 权 和 其 
他 业务 的 机 构 。 我 们 不 茶会 问 ， 区 块 链 是 否 能 够 用 来 对 它们 去 中 心 化 。 我 们 不 
仅仅 要 考虑 技术 上 去 中 心 化 的 可 能 性 ， 还 要 考虑 ， 它 是 否 合乎 金融 规律 并 对 社 
会 有 利 ? 
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11.1 区 块 链 作为 去 中 心 化 的 工具 


在 比特 币 之 前 ， 有 很 多 数字 电子 货币 失败 的 尝试 (本 书 的 前 言 中 提 到 了 许 
多 失败 的 案例 )。 比 特 币 与 大 多 数 失 败 的 尝试 之 间 ， 最 重要 的 区 别 在 于 去 中 心 
化 。 比 特 币 去 中 心 化 的 核心 创新 方法 是 使 用 区 块 链 。 

在 这 一 节 ， 我 们 会 研究 区 块 链 技术 如 何在 货币 体系 以 外 的 领域 里 实现 去 中 
心 化 。 本 章 我 们 会 一 直 重 复 使 用 汽车 的 案例 ， 这 辆 车 的 所 有 权 是 通过 区 块 链 来 
控制 的 。 这 个 案例 是 我 们 在 第 9 曹 中 介绍 的 智能 合约 的 概念 里 的 具体 体现 。 早 
在 1990 年 年 初 ， 尼 克 ' 萨博 (Nick Szabo) 和 其 他 几 位 创新 性 提出 智能 资产 和 
管理 智能 资产 的 数字 化 合约 ， 远 远 早 于 比特 币 。 随 着 区 块 链 的 出 现 ， 这 个 想法 
变 得 越 来 越 现 实 和 具体 。 


令 人 鼓舞 的 案例 

当代 的 汽车 使 用 两 种 主要 的 加 锁 机 制 ( locking mechanisms) : 门 上 的 物理 
锁 和 通过 电子 锁 住 引擎 不 让 发 动 的 制 动 硕 。 用 户 用 遥控 钥匙 可 以 与 汽车 无 线 
通信 ， 根 据 遥 控 需 与 车 的 距离 或 者 用 户 按 下 按钮 的 特定 动作 ， 来 解锁 车 门 和 
发 动 引 擎 。 

为 了 防止 假冒 钥 是 入 侵 ， 千 钥匙 的 解锁 机 制 需 要 加 密 。 虽 然 安全 专家 发 
现 很 多 最 近 使 用 的 加 锁 机 制 存 在 很 多 问题 ,但 是 他 们 是 有 可 能 处 理 好 这 些 
问题 的 。 一 般 来 说 ， 这 些 算 法 会 使 用 对 称 钥匙 加 密 技 术 。 在 我 们 这 个 案例 
中 ,用 的 是 基于 非 对 称 加 密 技术 的 类 似 椭圆 曲线 数字 签名 算法 的 数字 签名 
技术 。 

在 这 个 例子 里 ， 汽 车 储存 了 一 份 遥 控 器 的 公开 密 钥 ， 用 于 打开 车 门 和 发 动 
引擎 。 当 天 控 上 需 请 求 开门 的 时 候 ， WA 
密 钥 签 名 。 只 有 遥控 器 准确 回复 签名 ， 和 车门 才 会 被 打开 。 到 目前 为 止 ， 这 个 原 
理 和 实际 中 的 防盗 机 制 没 有 什么 大 的 区 别 。 唯 一 的 区 别 是 ， eye 
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加 密 技 术 ， 安 装 起 来 比较 昂 贯 。 


实现 智能 

这 次 设计 的 智能 汽车 ， 是 假设 用 来 验证 遥控 右 的 公开 密 钥 并 不 是 徘 汽 车 制 
造 商 永久 地 记录 在 汽车 里 ; 而 是 ， 智 能 汽车 技术 上 可 以 不 间断 地 ， 无 线 接收 例 
如 比特 币 一 样 的 区 块 链 上 的 新 区 块 。 当 汽车 在 组 装 三 组 装 的 时 候 ， 遥 控 吉 里 第 
一 个 用 户 〈 比 如 组 装 厂 的 经 理 ) 的 公开 密 钥 通过 特殊 操作 加 入 区 块 链 。 同 时 ， 
这 辆 智能 汽车 也 把 该 特殊 操作 的 ID 写 入 它 自 市 的 程序 。 

核心 的 思想 是 ， 汽 车 更 改 所 有 权 的 时 候 一 一 从 疼 配 和 三 到 质量 监控 室 到 运 
偷 人 员 到 汽车 经 销 商 到 第 一 个 所 有 者 一 一 也 同时 更 新 到 区 块 链 ， 区 块 链 同 时 授 
权 每 一 步 的 转换 。 值 得 注意 的 是 ， 在 这 个 模式 下 ， 授 权 用 的 遥控 右 疫 有 跟着 三 
走 。 每 个 人 或 者 公司 都 有 一 个 预先 存在 的 遥控 能 (或 者 市 着 某 种 有 遥控 妖 功 能 
的 仪器 ) 。 这 个 遥控 带 里 面 有 一 个 唯一 的 签名 密 钥 。 根 据 区 块 链 的 交易 ， 签 名 密 
钥 被 激活 或 者 被 取消 拥有 这 辆 车 的 权利 。 这 样 的 交易 以 车 最 新 的 交易 ID 为 输 
人 人， 同时 设 定 一 个 新 的 公共 密 钥 为 输出 ID。 汽 车 目前 的 拥有 者 需要 用 私人 密 钥 
在 这 个 输出 ID 上 签名 。 

这 种 设计 和 我 们 在 第 9 章 讨 论 的 智能 资产 相似 ， 除 了 一 个 重大 的 区 别 : 区 块 
链 的 交易 不 仅仅 表示 汽车 所 有 权 的 变更 ， 它 还 代表 真正 的 汽车 物理 拥有 权 的 转 
移 。 当 汽车 通过 区 块 链 转移 的 时 候 ， 前 车主 的 遥控 需 无 法 工作 ， 新 车 主 的 遥控 
货 获 得 开门 和 局 动 引 擎 的 权利 。 让 所 有 权 等 同 于 使 用 权 的 技术 有 着 深远 的 影响 ， 
这 将 促使 强 有 力 的 去 中 心 化 。 但 是 去 中 心 化 是 否 有 用 ， 这 并 不 容易 看 清楚 。 我 
们 将 在 11.4 市 回 过 头 来 讨论 这 个 问题 。 


安全 的 交易 
假设 爱丽 丝 拥 有 一 辆 智能 汽车 想 卖 给 鲍 勃 ， 能 够 数字 化 地 转移 汽车 控制 权 
会 引起 几 个 有 趣 的 可 能 性 。 比 如 ， 爱 丽 丝 也 许 正 在 国外 旅行 正 需 要 钱 来 支付 旅 


咒 ， 所 以 要 卖 邱 停 在 她 家 后 院 车 库 的 汽车 。 只 要 联 上 互联 网 ， 鲍 勃 就 可 以 用 比 
特 币 支 付 给 爱丽 丝 车 钱 ， 爱 丽 丝 可 以 远程 通过 区 块 链 把 车 的 所 有 权 转 移 给 鲍 勃 ， 
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鲍 勃 就 可 以 开 走 这 辆 车 。 

然而 ， 这 样 的 交易 存在 一 定 的 风险 。 如 果 鲍 勃 先 支 付 ， 爱 丽 丝 也许 收 了 钱 
而 不 转移 车 的 所 有 权 。 如 果 爱 丽 丝 先 转移 车 的 所 有 权 ， 鲍 勃 也 许 不 付 钱 就 把 熙 
开 走 了 。 即 使 假设 爱丽 丝 在 现场 ， 也 有 可 能 另 一 方 突然 改变 主意 而 撤销 交易 。 
这 时 候 让 不 在 场 的 第 三 方 来 调解 争议 也 很 困难 。 

我 们 之 前 多 次 碰 到 这 种 问题 ， 包 括 在 合 币 (第 6 章 ) 和 域名 币 (第 10 章 ) 
中 。 解 决 这 类 问题 要 使 用 同样 的 原则 。 只 要 文 付 的 货币 和 汽车 的 拥有 权 同 时 存 
在 相同 的 区 块 链 ， 爱 丽 丝 和 鲍 勃 就 可 以 产生 一 个 不 可 分 割 的 交易 。 这 个 交易 同 
时 转移 汽车 的 所 有 权 和 车 款 。 具 体 地 说 ， 这 个 交易 规定 两 个 输入 : 爱丽 丝 的 所 
有 权 和 钱 勃 的 支付 款 ; 规定 两 个 输出 : 归 鲍 勃 的 所 有 权 和 归 爱 丽 丝 的 文 付款 。 
这 个 交易 需要 双方 提供 输入 要 素 ， 因 此 要 求 双方 都 要 签名 。 如 果 只 有 一 方 签名 ， 
交易 就 无 效 。 一 旦 一 方 签 名 ， 交 易 的 细节 就 无 法 改变 ， 除 非 这 个 签名 无 效 。 签 
过 名 的 交易 一 旦 对 整个 区 块 链 广播 ， 鲍 勃 只 要 等 预 设 的 几 次 确认 (一 般 是 6 
次 ) ， 就 可 以 拥有 这 辆 车 。 鲍 勃 文 付 给 爱丽 丝 的 款项 也 同时 被 确认 。 两 个 确认 是 
相辅相成 ， 缺 一 不 可 的 。 

细心 的 读者 也 许 注意 到 了 一 个 微妙 的 问题 。 鲍 勃 可 以 收 到 爱丽 丝 签名 的 交 
易 ， 自 己 也 签名 ,但 是 不 立即 对 外 广播 。 等 到 爱丽 丝 卖 东西 的 价格 变 了 了 ， 鲍 动 
才 把 旧 交 易 用 原来 的 价格 对 外 广播 。 所 以 为 了 避免 这 种 问题 ， 比 较 复杂 的 不 可 
分 割 的 交易 里 包括 截止 时 间 。 过 了 截止 时 间 后 ， 爱 丽 丝 可 以 发 送 输 入 她 控制 下 
的 新 地 址 ， 用 来 表示 撤回 她 发 给 鲍 勃 的 已 经 签 过 名 的 交易 。 

这 是 本 章 案例 之 一 。 我 们 将 会 在 本 章 看 到 ， 很 多 其 他 案例 使 用 区 块 链 技术 
促使 现实 中 的 各 种 交易 程序 去 中 心 化 ， 从 而 达到 不 同 种 类 的 去 中 心 化 状态 。 其 
中 ,不 可 分 割 性 (atomicity) 是 绝 大 多 数 案例 共有 的 特性 。 也 就 是 说 ， 交 易 每 一 
方 的 交割 都 是 联系 在 一 起 的 ， 所 以 它们 都 同时 发 生 或 者 都 不 发 生 。 不 可 分 割 性 
是 区 块 链 以 外 应 用 程序 领域 里 重要 的 安全 概念 。 
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11.2 通 往 区 块 链 融 合 之 路 


因为 比特 币 的 区 块 链 是 专用 在 货币 上 的 ， 把 它 改造 为 用 于 表示 其 他 应 用 是 
很 有 挑战 性 的 。 在 比特 币 世 界 里 ,你 会 发 现 有 许多 人 偏爱 把 比特 币 或 者 别 的 区 
块 链 作为 去 中 心 化 的 平台 。 在 本 节 ， 我 们 来 分 析 两 种 方法 。 


方法 1: 直接 在 比特 币 基 础 上 

区 块 链 融 合 自然 而 然 的 出 发 点 是 比特 币 。 这 也 是 我 们 在 前 面 11.1 市 智能 汽 
车 例子 里 用 的 办 法 。 直 接 使 用 比特 币 的 好 处 就 是 容易 实现 一 一 代码 容易 运行 ， 
比特 币 网 络 有 很 强 的 挖 矿 能 力 ， 共 识 过 程 没有 瑕 辛 。 然 而 ,我们 必须 在 比特 币 
上 做 些 修改 才能 用 于 我 们 的 例子 。 比 如 ， 用 于 授权 比特 币 交 易 的 加 密 要 等 同 于 
用 于 打开 车 门 的 加 密 。 有 了 时候 对 比特 币 的 修改 是 不 可 能 的 ， 而且 从 根本 上 说 ， 
如 果 你 有 非常 复杂 的 涉及 不 同方 的 合约 ， 用 比特 币 的 区 块 链 不 一 定 能 足够 胜任 
或 者 不 可 分 割地 执行 。 为 了 展示 用 比特 币 区 块 链 的 危险 性 ， 我 们 研究 一 下 如何 
构建 一 些 中 性 的 非 中 介 化 的 应 用 程序 。 

首先 ， 我 们 来 研究 众 筹 服务 。 在 2015 年 ， 最 广泛 使 用 的 众 筹 网 站 是 Kick- 
starter, 它 通 过 一 个 中 心 化 的 网 站 ,连接 了 创业 者 和 资金 提供 方 。 我 们 欣赏 Kick- 
starter 的 想法 ， 但 希望 通过 建造 一 个 完全 去 中 心 化 的 蔡 代 系统 。 这 个 系统 需要 让 
创业 者 能 要 求 投 资 人 捐款 ， 但 是 在 收 到 一 定 预先 设 定 数额 之 前 ， 创 业者 不 能 . 
掉 任 何 一 分 钱 。 所 有 的 这 些 都 是 没有 中 介 的 。 

用 比特 币 的 技术 实现 这 样 的 众 宕 服务， 需要 创业 者 创建 一 个 特定 输入 的 交 
吻 〈 输 入 数 可 以 随 着 进程 而 改变 ) 和 一 个 支付 给 目 己 的 输出 ， 比 如 支付 1 000 
个 比特 币 (BTC)。 这 个 交易 将 在 潜在 的 资助 者 中 流传 。 任 何 资 助 者 都 可 以 把 资 
助 额 加 在 交易 的 输入 上 ， 并 且 效 字 化 签名 他 们 的 输入 和 总 输出 。 只 有 到 所 有 输 
和 等 于 或 者 大 于 输出 的 时 候 ， 创 业者 才能 取得 这 笔 交 易 的 所 有 输入 〈 见 图 
11. 1)。 因 为 签名 形式 有 限 ,， 我们 要 用 到 比特 币 一 些 鲜 为 人 知 的 功能 ， 才 能 花 掉 
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最 后 的 交易 额 。 虽 然 这 在 当今 的 比特 币 系 统 能 做 到 ， 但 是 我 们 必须 钻研 到 比特 
币 里 很 少 人 知道 的 角落 。 这 并 不 是 一 个 日 常见 到 的 标准 比特 币 交 易 。 





图 11.1 通过 比特 币 众 筹 
注 : 由 不 同 资助 者 发 起 的 多 输入 的 单 笔 交易 。 每 个 资助 者 签 下 他 们 的 输入 和 输出 。 只 有 在 累积 
输入 数额 达到 或 者 超过 输出 ， 该 交易 才 有 效 。 


男 一 个 案例 : 支付 证 明 费 用 (paying for a proof) 。 这 个 案例 初 看 起 来 好 像 奇 
怪 , 但 是 它 有 很 重要 的 应 用 。 为 了 表示 清楚 ,我们 假设 有 个 哈 希 陈 数 旦 和 一 个 
大 家 都 知道 的 数字 y, y 是 H 输入 x 后 产生 的 输出 。 爱 丽 丝 知道 这 个 x 的 数值 ， 
鲍 支 为 了 知道 这 个 x 值 ， 愿 意 文 付 给 爱丽 丝 。 广义 上 讲 , H 可 以 是 任何 计算 程 
序 ， 鲍 勃 希 望 知 道 他 感 兴趣 的 能 够 产生 特定 结果 的 输入 值 。 这 个 问题 的 进一步 
演变 是 ， 鲍 动 也 许愿 意 文 付 一 定 的 费用 ， 让 这 个 输入 值 公开 在 区 块 链 上 。 

为 了 安全 地 实现 这 笔 交 易 ， 我 们 必须 确认 交易 的 不 可 分 割 性 。 爱 丽 丝 只 有 
提交 正确 的 输入 才能 收 到 钱 。 而 鲍 动 一 收 到 输入 必须 承担 支付 责任 。 记 得 我 们 
在 第 10 章 的 不 可 分 割 的 交叉 链 互 换 协 议 中 ， 展 示 了 如 何 绑 定 文 付 和 呈现 哈 希 函 
数 输入 值 。 类 似 的 方法 可 以 用 在 这 里 。 

这 些 例子 显示 了 直接 使 用 比特 币 区 块 链 的 重要 局 限 性 。 在 每 个 例子 中 ， 我 
们 必须 把 复杂 的 真实 世界 交易 编译 成 比特 币 的 概念 。 这 不 一 定 总 能 实现 。 在 智 
能 汽车 的 例子 里 ， 我 们 假设 该 车 用 ECDSA 签名 技术 来 验证 汽车 的 主人 。 这 就 人 允 
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许 我 们 使 用 区 块 链 和 遥控 器 相同 的 公 / 私 密 钥 来 开锁 并 发 动 汽车 。 在 众 敌 例子 
中 ， 创 业者 只 能 拿 到 他 们 要 求 的 数额 ， 不 能 多 也 不 能 少 。 如 果 资 助 的 金额 大 于 
需求 的 ， 多 出 的 部 分 就 成 为 交易 费用 。 最 后 ， 在 支付 证 明 费 用 的 例子 里 ， 如 来 
函数 H 不 是 比特 币 语言 所 支持 的 哈 硕 图 数 ， 那 么 连接 支付 和 公开 数字 这 种 模式 
就 很 困难 。 

如 果 你 不 能 ， 或 者 不 想 把 应 用 程序 强行 套 人 比特 币 的 交易 体系 ,那么 可 以 
选择 使 用 附着 币 ， 我 们 在 第 9 章 讨 论 过 附着 币 。 这 样 比 特 币 就 成 为 数据 人 存储， 
I 与 之 无 关 。 这 种 用 附着 币 的 方式 ， 不 仅 可 以 
构建 很 多 其 他 应 用 ， 还 可 以 使 应 用 透明 化 。 重 新 回 到 卖 车 的 例子 ， 如 果 区 块 链 
中 对 象 的 颜色 是 公开 的 〈 比 如 以 有 颜色 的 货币 来 表示 ) ， 任 何人 都 可 以 通过 检查 
区 块 链 得 知 汽车 在 何 时 购买 ， 以 什么 价格 ,而 不 用 知道 买卖 双方 的 真实 喘 份 。 
这 种 方式 在 某 种 情况 下 很 有 用 。 在 对 它 不 利 的 时 候 ， 颜 色 的 对 象 可 以 不 对 外 
公开 as 

然而 ， 这 种 附着 币 有 重大 缺陷 。 附 着 币 的 用 户 无 法 依靠 比特 币 的 矿工 来 验 
证 交易 〈 因 为 矿工 无 法 了 解 附着 币 的 交易 语言 含义 ) 。 这 意味 着 所 有 附着 币 的 用 
户 必须 以 全 网 节点 的 方式 运行 。SPV 也 不 可 能 。 只 要 在 构建 的 时 候 存 在 使 得 共识 
无 法 达成 的 漏洞 ， 附 着 币 就 会 变 得 很 不 稳定 。 如 果 两 个 附着 币 对 一 个 交易 的 有 
效 性 持 不 同意 见 ， 会 导致 这 个 货币 形成 两 个 分 叉 货 币 。 这 会 导致 灾难 性 的 后 果 。 
相反 ， 如 果 由 矿工 来 验证 交易 ， 这 种 不 同意 见 的 情况 就 会 很 少 发 生 。 如 果 这 种 
情况 真 的 发 生 了 ， 那 么 它 很 快 就 会 引起 注意 并 且 很 可 能 解决 ， 而 不 会 导致 货币 
ji 

从 男 一 全 无 论 我 们 是 否 用 附着 币 ， ada 台 范 畴 外 的 交易 
会 加 重 或 者 “污染 ”比特 币 的 区 块 链 。 在 比特 币 世 界 ， 这 个 问题 双方 争执 不 下 。 
otaly 但 是 我 们 要 指出 有 一 个 解决 的 办 法 : Mini 9. 1 节 看 到 的 ， 
仅仅 把 比特 币 当 成 时 间 惟 服务 ， 而 不 是 当成 数据 存储 。 目 前 有 刚刚 起 步 的 服务 ， 
提供 另外 的 区 块 链 或 者 数据 存储 服务 。 其 中 有 一 个 服务 是 通过 比特 币 区 块 链 做 
时 间 戳 服务。 这 就 像 第 9 草 讨 论 过 的 时 间 戳 服务 ， 但 是 多 了 每 10 分 钟 一 次 哈 希 
计算 ， 而 不 是 每 周一 次 在 新 闻 报 纸 上 。 用 比特 币 当 时 间 戳 只 要 每 区 块 (或 者 每 
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次 服务 或 者 协议 ) 一 次 交易 。 不 完美 的 地 方 就 是 ， 很 难 找到 像 比 特 币 区 块 链 这 
样 容易 获得 并 且 广 泛 复制 留存 的 外 部 数据 存储 。 同 时 ,一般 的 非 比 特 币 数据 存 
储 更 加 中 心 化 。 

总 的 来 说 ,不 管 是 否 使 用 骸 套 技术 ， 比 特 币 的 区 块 链 诞 生 了 许多 创新 的 应 
用 。 这 些 通 过 比特 币 区 块 链 产生 的 应 用 ,受到 用 户 和 矿工 的 广 沁 接受 。 因 此 ， 
使 用 比特 币 区 块 链 是 一 个 安全 且 容 易 实 现 的 选择 。 


方法 2: 另类 区 块 链 

去 中 心 化 的 另 一 个 方法 是 使 用 另类 区 块 链 ， 也 有 几 个 选择 方案 。 最 明显 的 
方法 就 是 ， 使 用 一 个 全 新 的 区 块 链 ， 有 目 己 的 规则 、 功 能 和 货币 〈 也 就 是 另类 
币 )。 为 一 个 方案 是 ,使 用 我 们 在 第 10 章 学 过 的 侧 链 。 这 个 方案 的 主要 不 同 在 
于 侧 链 的 货币 是 1: 1 的 比例 方式 与 比特 币 挂钩 。 有 高 级 脚本 语言 的 侧 链 可 以 满 
足 复杂 合约 的 要 求 ， 也 能 做 到 去 中 介 化 。 但 是 ， 侧 链 需要 对 比特 币 进行 修改 ， 
这 些 修改 目前 到 2015 年 还 没有 进展 。 

第 三 个 选择 是 用 已 经 存在 的 为 类 区 块 链 ， 这 个 区 块 链 能 够 支持 新 的 应 用 程 
序 。 截 至 2015 年 ， 我 们 在 第 10 草 讨论 过 的 以 太 坊 体系 ， 是 最 有 潜力 的 去 中 心 化 
加 密 贷 币 应 用 程序 平台 。 从 概念 上 看 ， 以 太 坊 是 去 中 心 化 的 复杂 合约 的 理想 平 
台 。 当 然 ， 以 太 坊 也 面临 实际 的 挑战 : 至 少 到 2015 年 ， 它 还 没有 达到 比特 币 同 
等 水 平 的 成 熟 度 、 接 受 度 和 挖 矿 计算 力 ， 也 没有 接受 相应 水 平 的 安全 性 考验 。 
无 论 如 何 ， 这 是 一 个 令 人 着 迷 的 去 中 心 化 复杂 合约 的 精美 实验 。 未 来 ， 以 太 坊 
体系 或 者 其 他 体系 有 可 能 秆 勃 发 展 。 


11.3 去 中 心 化 的 模板 


我 们 研究 了 几 种 通过 区 块 链 达 到 去 中 心 化 的 方式 。 接 下 来 ， 我 们 将 会 建立 
一 套 去 中 心 化 应 该 考虑 的 问题 的 模板 ， 问 题 包 括 去 中 心 化 的 对 象 、 用 什么 区 块 
链 合适 、 实 体 和 安全 性 在 去 中 心 化 下 的 重新 定义 。 
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去 中 心 化 的 程度 
通过 去 中 介 而 去 中 心 化 


再 回想 一 下 我 们 前 文 提 到 的 智能 汽车 ,为 了 带 助 理解 ， 我们 问 一 个 问题 ， 
数字 拥有 权 的 转移 到 底 蔡 代 了 现实 生活 中 的 什么 步 又 ? 

美国 汽车 的 产权 ， 是 由 拥有 产权 证 书 来 确定 的 。 这 是 产权 的 中 心 化 形式 。 
产权 证 书 只 有 机 动车 管理 部 门 〈 Department of Motor Vehicles， 人 简称 DMV) 能 识 
别 和 实际 使 用 。 当 出 售 汽 车 的 时 候 ， 卖 方 交 接 产 权证 书 给 天 方 ， 仅 仅 这 样 做 是 
不 够 的 。 这 样 的 产权 转移 ， 必 须 在 DMV 注册 ，DMYV 在 其 中 央 数 据 库 进行 更 新 。 
通过 区 块 链 来 转移 产权 ， 我 们 从 国家 擎 控 的 集中 程序 转变 成 不 需要 任何 中 介 。 
这 就 是 通过 去 中 介 来 实现 去 中 心 化 。 


争议 的 调解 : 通过 竞争 去 中 心 化 

假设 买卖 双方 对 汽车 交易 有 和 争议。 也 许 卖家 出 售 了 一 辆 以 次 充 好 的 汽车 ， 
天 家 很 生气 要 退 贫 。 在 第 3 草 ， 我 们 讨论 过 3 选 2 的 多 方 签名 交易 。 如 果 除 了 买 
卖 双方 以 外 还 有 第 三 方 比如 法 官 或 者 调停 者 ， 这 个 交易 就 可 以 支持 托管 。 这 种 
情况 下 ,天方 不 需要 直接 把 钱 转 给 卖方 ， 而 是 转 到 一 个 由 买卖 双方 和 调停 者 组 
成 的 3 选 2 控制 的 地 址 。 调 集 者 在 男 外 一 方 的 帮助 下 可 以 批准 支付 或 者 退 款 ， 
但 是 不 能 偷 走 这 笔 钱 。 

这 是 一 个 很 好 的 争端 解决 机 制 的 开端 ， 但 仍 有 很 多 细节 需要 考虑 。 首 先 ， 
我 们 丧失 了 以 前 依赖 的 汽车 交易 的 不 可 分 割 性 。 其 次 ,我 们 不 清楚 汽车 的 拥有 
权 是 否 可 以 随 厦 退 球 而 恢复 原来 的 状态 。 最 后 ， 如 果 汽 车 的 所 有 权 转 到 3 选 2 
的 地 址 ， 那 么 遥控 钥 古 要 给 谁 开 车 的 权利 ? 我 们 讨论 这 些 的 目的 不 是 找 出 解决 
这 些 问题 的 办 法 ， 而 是 用 这 个 例子 来 仔细 思考 调停 者 的 作用 。 有 具体 而 言 ， 我 们 
要 比较 这 种 调停 模式 和 传统 调停 模式 的 区 别 。 

现实 世界 里 的 调停 争议 如 何 发 生 ? 这 需要 借助 司法 体系 ， 一 个 中 心 化 的 、 
国家 控制 的 ， 最 好 和 需要 聘请 律师 的 调停 系统 。 相 反 ， 在 数字 合约 下 ， 参 与 者 自 
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由 选择 他 们 想 要 的 调停 者 。 一 个 调停 的 私人 市 场 将 会 莲 勃 发 展 。 在 这 个 市 场 里 ， 
不 需要 按 现 有 的 法 律 规定 ， 各 种 潜在 的 中 介 可 以 根据 公平 、 效 率 和 成 本 相互 区 
争 。 这 中 间 有 几 个 挑战 性 的 问题 : 第 一 个 是 激励 机 制 ， 调 停 者 也 许 会 被 交 多 的 
一 方 贿赂 ; 第 二 个 是 资金 在 有 争议 期 间 是 被 锁 住 的 ; 第 三 ， 当 内 部 调停 机 制 失 
效 后 ， 因 为 交易 双方 都 是 匿名 的 ， 所 以 很 难 最 后 上 法 庭 解 决 ， 即 使 双方 可 以 被 
识别 ， 数 字 合 约 当 前 也 不 被 法 码 认 可 。 

我 们 的 观点 是 ， 这 不 是 通过 去 中 介 而 产生 去 中 心 化 一 一 我 们 没有 完全 摆脱 
中 介 ， 而 是 让 参与 者 选择 他 们 信任 的 人 。 也 就 是 说 ， 通 过 竞争 去 中 心 化 。 在 介 
于 单一 规定 的 中 介 和 完全 不 需要 中 介 的 完全 去 中 介 之 间 ， 还 有 很 大 的 空间 和 可 
能 。 就 像 我 们 看 到 的 ， 在 这 两 种 极端 之 间 ， 可 以 存在 一 种 情况 ， 即 有 很 多 中 介 
相互 竞争 。 事 实 上 ， 我 们 在 第 9 章 讨 论 去 中 心 化 的 未 来 预测 市 场 也 是 这 种 情况 。 
不 像 InTrade 一 个 公司 占领 整个 市 场 ， 参 与 者 可 以 从 竞争 的 仲裁 人 中 任意 选择 
他 们 相信 的 人 来 进行 关键 的 市 场 操 作 。 


能 达到 什么 样 的 安全 程度 

我 们 从 这 个 案例 观察 到 男 外 一 个 问题 。 诊 断 解 决 过 程 的 安全 性 不 需要 依 徘 
不 可 分 割 性 。 相 反 ， 它 依靠 对 调停 者 的 信任 。 调 停 者 如 何 变 得 可 信 ? 有 很 多 种 
办 法 ， 最 直接 的 就 是 通过 信誉 。 与 不 可 分 割 性 通过 技术 维持 安全 性 不 同 ， 信 和 誉 
是 建立 在 长 时 间 的 社会 内 部 机 制 相互 作用 的 基础 上 的 。 





有 人 在 比特 币 世 界 里 把 “信任 最 小 化 ”或 者 “没有 信任 ”作为 目标 。 这 
昕 起 来 像 是 退步 。 难 道 我 们 不 是 希望 建立 一 个 值得 信任 的 可 以 运作 的 体系 ? 
信任 这 个 词 有 不 同 的 解释 ， 因 而 会 引起 不 同 的 误解 。 当 爱丽 丝 借 给 鲍 勃 


D 一 个 在 线 电子 交易 平台 ， 对 应 的 在 线 赌博 模式 被 称 为 “未 来 事件 交易 "”。 网 站 用 户 可 以 对 所 有 与 
体育 竞赛 没有 关系 的 “大 事件 ”下 注 , 包括 政治 事件 、 经 济 形势 、 娱 乐 新 闻 、 交 通 运输 、 法 律 现 
状 、 流 行 音乐 甚至 是 天 气 情况 ， 泽 者 注 
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10 美元 并 说 信任 他 ， 爱 丽 丝 的 意思 是 她 觉得 鲍 勃 是 个 信得过 的 人 ， 她 坚信 饮 
勃 会 还 钱 。 在 安全 术语 里 ， 一 个 可 信任 的 组 成 部 分 意味 着 你 不 得 不 依靠 的 对 
象 。 当 人 们 用 可 信任 来 描述 认证 机 构 的 时 候 ， 他 们 觉得 如 果 这些 机 构 都 不 可 
信 了 ， 网 络 安全 就 毫 无 保障 了 。 

在 其 他 条 件 都 不 变 的 情形 下 ， 信 任 最 小 化 是 一 个 值得 追求 的 目标 。 我 们 
希望 能 打造 一 个 安全 的 系统 ， 这 个 系统 能 够 尽量 减少 我 们 不 得 不 依靠 的 组 成 
部 分 。 但 是 当 你 手 里 有 把 铁 锤 ， 任 何事 情 看 起 来 都 像 可 以 用 铁 锤 来 解决 的 钉 
子 。 比 特 币 的 支持 者 经 常 过 度 追 求 去 除 体 系 中 的 可 信任 部 分 。 一 个 可 信和 的 组 
成 部 分 不 总 是 坏事 。 现 实 世界 里 存在 的 信任 关系 本 身 也 没有 问题 。 去 除 可 信 
任 的 部 分 ， 可 能 带 来 其 他 隐藏 的 问题 。 

我 们 在 本 章 最 后 的 11. 4 节 会 详细 阐述 这 一 点 。 至 少 到 目前 为 止 , 我 们 意 
识 到 信任 这 个 词 的 复杂 含义 ， 我 们 避免 信任 这 个 词 ， 而 是 用 安全 这 个 比较 明 
确 的 词 来 表示 。 


在 技术 解决 不 了 的 地 方 ， 或 者 作为 技术 解决 方案 的 补充 ， 信 誉 起 了 一 定 的 
作用 。 然 而 ， 信 誉 也 有 一 些 问题 。 信 誉 是 要 和 真实 身份 联系 在 一 起 的 。 如 果真 
实 吴 份 不 确定 或 不 明朗 ， 信 党 就 无 法 发 挥 作 用 。 比 如 ， 一 家 餐馆 收 到 网 络 差 评 
后 决定 关 了 该 餐馆 ， 摆 脱 坏 信 誉 ， 然 后 以 原 班 人 马 重 开 一 家 新 的 餐馆 。 在 匿名 
的 世界 ,信誉 无 法 发 挥 作用 。 在 半 匿 名 环境 下 ， 真 实 映 份 很 容易 改变 ， 以 信誉 
为 基础 的 系统 会 面临 很 大 的 挑战 。 信 誉 体系 也 要 设法 去 验证 对 别人 声誉 有 影响 
的 众多 评价 。 在 传统 的 像 Yelp 的 系统 中 ， 商 户 用 真名 ， 用 户 某 种 程度 上 也 用 
具名 。 然 而 在 半 匿 名 环境 ， 很 难 精确 地 区 分 是 假 的 指控 还 是 真 的 事实 。 

我 们 不 再 深入 讨论 其 他 的 安全 机 制 ， 比 如 安全 硬件 设备 等 。 不 管 是 用 什么 
安全 机 制 ， 最 后 都 会 面临 一 个 大 的 挑战 ， 即 没有 现实 生活 中 的 执法 机 构 。 因 为 
没有 用 真实 身份 ， 这 些 机 制 里 都 没有 对 错误 行为 的 惩罚 ， 争 议 也 无 法 在 法 庭 上 


D Yelp 类 似 于 国内 的 大 众 点 评 。 一 一 译 者 注 
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解决 。 借 钱 变 得 不 可 能 ， 因 为 没有 执法 机 构 保 证 借款 人 会 还 钱 ， 因 此 交易 经 沼 
需要 先 预 存款 ， 这 些 预 存款 在 争议 期 间 会 被 锁 住 。 


框架 

总 结 一 下 本 章 至 今 讨论 的 内 容 ， 我 们 可 以 通过 提 4 个 问题 ,来 对 任何 去 中 
心 化 的 方案 进行 分 析 : 

1. 去 中 心 化 的 对 象 是 什么 ? 

2. 去 中 心 化 的 程度 如 何 ? 

3. 用 什么 样 的 区 块 链 ? 

4. 采用 什么 样 的 安全 措施 ? 

只 要 回答 了 以 上 4 个 问题 ， 我 们 就 基本 上 能 精确 地 了 解 大 多 数 在 比特 币 世 
界 里 见 过 的 基于 区 块 链 的 去 中 心 化 方案 。 让 我 考虑 以 下 几 个 例子 ( 见 表 11. 1) : 


智能 资产 
我 们 讨论 过 的 智能 资产 ， 去 中 心 化 的 是 资产 的 所 有 权 和 资产 的 转移 。 它 达 
到 了 完全 去 中 介 化 一 一 完全 不 需要 DMV 和 国家 这 样 的 实体 。 我 们 谈 过 它 如 何 使 


表 11.1 区 块 链 去 中 心 化 的 方案 特征 


方案 
智能 资产 存储 J 李 币 
1. Se ee 预测 市 场 ay 混合 币 种 
去 中 介 化 竞争 和 去 中 介 竞争 去 中 介 
如 何 ? 
“I 另类 币 比特 币 另类 币 
it 不 可 分 市 。 声誉 ， 不 可 分 声誉 不 可 分 抽 
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用 比特 币 的 区 块 链 来 达到 目的 。 当 然 你 也 可 以 用 另类 区 块 链 。 最 后 ， 安 全 性 是 
通过 不 可 分 割 方式 ， 即 把 支付 与 汽车 所 有 权 的 转移 不 可 分 割地 融合 在 一 起 。 


去 中 心 化 的 预测 市 场 

在 一 个 中 心 化 的 预测 市 场 ， 中 心平 台 或 者 交易 所 提供 两 种 重要 的 服务 : 裁 
决 并 公布 任何 赌注 的 事件 ， 并 向 参与 者 出 售 股权 (或 者 帮助 参与 者 安全 地 彼此 
交易 ) 。 我 们 在 第 9 章 看 到 ， 去 中 心 化 的 预测 市 场 不 需要 一 个 中 央 权 力 机 构 来 提 
供 这 些 功能 。 它 让 每 个 人 都 可 以 为 一 个 时 间 设 置 一 个 市 场 ， 并 通过 发 送 一 个 简 
单 交 易 ， 成 为 对 应 市 场 的 仲裁 者 ， 这 样 降低 了 执行 这 些 操 作 的 准 入 门槛 。 因 此 ， 
中 介 还 是 存在 的 ,但 用 户 可 以 自由 选择 很 多 相互 区 争 的 中 介 。 如 果 用 户 还 不 满 
意 ， 他 们 自己 可 以 来 执行 这 些 操 作 。 男 一 方面 ， 用 户 可 以 直接 日 动 地 和 其 他 用 
户 交 易 股 票 ， 所 以 中 央 集 权 这 方面 的 功能 被 去 中 介 化 了 。 去 中 心 化 的 预测 市 场 
要 求 比特 币 没 有 的 新 功能 ， 所 以 最 好 通过 一 个 定制 的 为 类 币 的 区 块 链 来 实现 。 


存储 ] 


存储 (StroJ) 是 格雷 戈 . 麦 斯 威 尔 (Greg Maxwell) 提出 的 ， 用 于 文件 存 
信和 调用 。 它 已 经 有 好 多 更 新 版 本 ,但 我 们 只 讨论 简单 版 本 。 大 体 上 看 ， 存 储 ] 
设置 了 一 个 存在 云端 的 “代理 ”， 它 被 设计 过 ,能 自己 做 出 一 些 特定 决定 。 比 
如 ,为 了 有 计算 资源 ,， 它 可 以 租用 云端 算 力 和 存储 空间 。 男 一 个 提供 给 用 户 的 
功能 是 让 客户 将 文件 存放 一 段 时 间 ， 比 如 24 小时， 需要 用 比特 币 付费 。 只 要 收 
到 比特 币 文 付 ， 它 就 会 一 直 保 存 客 户 文 件 。 除 了 简单 的 存储 ， 它 还 能 做 一 些 其 
他 有 趣 的 事情 。 我 们 不 做 次 入 展开。 在 我 们 的 框架 里 ， 存 储 J 实 现 了 文件 存 取 
的 去 中 心 化 ， 这 也 是 像 Dropbox 一 样 中 心 化 服务 的 核心 功能 。 代 理 其 实 就 是 中 
介 。 对 我 们 来 说 ， 自 动 化 与 否 其 实 并 没有 区 别 。 然 而 ， 中 介 之 间 存 在 竞争 。 支 
付 是 通过 比特 币 。 代 理 提 供 服 务 和 收 到 支付 并 没有 不 可 分 割 的 连接 ， 所 以 安全 


D 一 款 非常 好 用 的 免费 网 络 文件 同步 工具 ， 是 Dropbox 公司 运行 的 在 线 存储 服务 ， 有 人 说 是 世界 上 
最 伟大 的 云 存 储 服务 之 一 。 通 过 云 计 算 实 现 互联 网 上 的 文件 同步 ， 用 户 可 以 存储 并 共享 文件 和 文 
件 夹 ， 一 一 译 者 注 
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是 通过 代理 的 声誉 来 实现 的 。 


零 币 

我 们 在 第 6 章 讨论 过 零 币 ， 一 个 有 效 的 、 去 中 心 化 达到 混合 币 种 从 而 保持 
匿名 服务 的 方法 。 零 币 不 是 采用 中 心 化 的 混合 服务 ， 而 是 采用 加 密 协 议 实现 了 
用 混合 币 种 的 功能 ， 只 是 靠 数 学 和 共识 而 不 靠 中 介 。 和 零 币 和 它 的 后 来 者 重度 使 
用 加 密 机 制 ， 因 此 比较 适合 使 用 特别 的 区 块 链 。 在 安全 措施 上 ， 我 们 曾 提 到 需 
要 销毁 一 个 基础 币 (Basecoin) 从 而 作为 交换 获取 一 个 零 币 , 这 两 个 操作 密 不 可 
分 。 赎 回 零 币 也 是 如 此 ， 这 就 是 典型 的 不 可 分 割 性 。 


11.4 什么 时 候 适 合 去 中 心 化 


我 们 一 直 在 关注 搁 术 上 如 何 实现 去 中 心 化。 现在 ,我 们 要 深入 研究 去 中 心 
化 的 动机 。 这 些 问 题 跟 技术 无 天 ， 却 同样 难以 回答 : 去 中 心 化 一 定 是 有 益 的 吗 ? 
经 济 上 合适 吗 ? 去 中 心 化 的 社会 影响 是 什么 ? 

我 们 至 今 只 是 把 “去 中 心 化 ”当成 一 个 技术 概念 ， 却 从 来 没有 明确 提出 去 
中 心 化 是 和 政治 紧密 相关 。 妆 我 们 讨论 用 技术 的 创新 手段 替代 或 者 部 分 蔡 代 传 
统 体 系 ， 我 们 实际 上 是 在 讨论 如 何在 旧 有 的 法 律 、 社 会 和 金融 机 构 中 重新 分 配 
权力 。 去 中 心 化 的 理想 来 日 比特 币 的 起 源 : 密码 朋克 运动 一 一 一 群 不 墨守成规 
的 人 发 起 的 草 在 通过 加 密 技 术 实现 个 体 上 自治 的 运动 (参阅 前 言 和 第 7 章 相 关内 
容 )。 有 了 区 块 链 ， 他 们 的 理想 相对 以 前 更 近 了 。 但 是 他 们 的 理想 可 行 吗 ? 受 欢 
迎 吗 ? 

回 到 我 们 的 汽车 销售 案例 ， 传 统 机 构 会 试图 帮助 汽车 所 有 者 解决 两 个 问题 : 
第 一 个 是 中 化 所 有 权 ， 也 就 是 说 ， 防 止 偷窃 ; 第 二 个 是 确保 交易 安全 进行 ,或 
少 说 防止 在 交易 中 被 欺骗 。 所 以 当 我 们 比较 智能 资产 和 现 有 体系 时 ,我 们 不 能 
仅仅 比较 一 切 顺 利 的 时 候 谁 效率 高 ， 最 重要 的 是 我 们 要 看 事情 不 顺利 的 时 候 ， 
最 坏 能 坏 到 什么 程度 。 
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现实 生活 中 的 安全 性 挑战 

防止 任何 形式 的 偷盗 一 一 比如 汽车 、 艺 术 品 、 现 金 等 一 一 部 是 预防 、 发 现 
和 纠正 错误 。 预 防 性 安全 机 制 在 于 阻止 偷盗 的 发 生 ， 发 现 性 安全 机 制 在 于 发 现 
盗窃 便 于 将 来 采取 纠正 错误 的 措施 ， 纠 正 错误 就 是 索 回 盗 家 的 损失 并 惩 列 盗 客 
者 (惩罚 也 可 以 看 成 是 预防 资历 发 生 的 方式 之 一 ) 。 千 锁 和 报警 希 是 预防 性 安全 
措施 ,GPS 跟踪 器 (比如 LoJack) 用 于 帮助 发 现 盗 甸 并 有 助 于 执法 者 找到 被 偷 
的 车 。 其 中 的 关键 在 于 ， 阻 止 偷 车 涉及 和 警察、 保险 、 法 庭 等 ， 车 锁 只 是 阻止 偷 
车 犯罪 的 一 个 小 因素 。 如 果 你 生活 在 没有 法 律 保护 的 环境 里 ,单纯 的 车 锁 并 不 
能 阻止 盗 镭 的 发 生 。 这 种 情况 下 ， 锁 在 路 边 的 车 很 快 就 会 被 偷 走 。 

智能 资产 的 模式 极 大 地 依靠 预防 措施 。 只 有 把 所 有 权 等 同 于 使 用 权 ， 我 们 
才能 实现 去 中 心 化 。 即 拥有 这 辆 车 所 有 权 就 表示 ， 你 知道 某 块 区 块 链 上 的 私人 
密 钥 。 但 是 这 种 控制 原理 无 法 取代 我 们 现在 拼图 式 的 机 构 合 作 。 

假 知 我 们 仅 用 保密 的 私人 密 钥 来 表示 拥有 权 ， 那 么 数字 加 密 就 变 得 很 重要 。 
但 是 因为 人 类 是 所 有 因素 里 最 容易 被 突破 的 ， 数 字 加 密 的 保密 性 就 会 变 得 很 困 
难 。 加 密 系统 的 设计 者 几 十 年 来 一 直 在 努力 让 非 技 术 用 户 使 用 并 管理 私人 密 角 
以 防止 偷盗 或 者 丢失 钥 是 ， 但 是 曝 无 进展 。 如 果 去 中 心 化 只 依 知 私 密 钥匙 ， 非 
法 软件 或 者 钓鱼 攻击 就 能 偷 走 车 。 或 者 忘记 密 钥 就 能 导致 你 的 车 变 成 一 堆 废 铁 。 
当然 ， 以 上 问题 都 可 以 有 其 他 的 解决 方式 ， 最 后 这 些 解 决 方式 让 我 们 回 到 中 介 
和 中 心 化 系统 ， 偏 离 了 我 们 为 之 奋斗 的 去 中 心 化 的 主旨 。 

只 要 涉及 人 ， 资 产 转 移 就 会 存在 争议 如 何 解 决 的 问题 。 争 议 在 于 交易 条 件 
或 者 交易 的 任何 一 个 方面 。 在 现实 世界 ， 如 果 交 易 双 方 无 法 达成 一 致 ， 就 会 把 
争议 提交 到 法 庭 ， 法 官 会 按照 闫 定 的 程序 验证 每 一 条 证 据 、 供 词 和 书面 文件 ， 
最 后 法 官 会 做 出 关于 这 个 买卖 有 效 性 的 判决 。 很 多 人 ， 特 别 是 技术 方面 的 人 ， 
倾 问 于 把 法 律 看 成 是 一 套 由 滥 辑 化 的 规则 与 算法 组 成 的 体系 ， 该 体系 必定 能 
得 到 一 个 明确 的 和 裁决。 然而， 现实 中 的 法 律 体系 不 但 有 宛 长 的 法 律 和 条 约 ， 还 
有 人 们 对 法 律 法 规 的 理解 和 判断 。 这 些 离 有 明确 逻辑 的 法 规 的 观念 就 更 加 遥远 
了 。 这 种 特征 并 不 是 蚤 点 。 因 为 这 样 才 可 能 允许 我 们 去 解决 当初 制定 法 律 的 人 
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所 没有 想到 的 更 加 复杂 的 案例 。 

回 到 去 中 心 化 模式 的 安全 问题 ， 我 们 想 要 的 安全 属性 和 去 中 心 化 模式 提供 
的 安全 模式 是 有 差别 的 。 就 以 之 前 提 到 的 去 中 心 化 众 筹 为 案例 : 我 们 知道 众 宕 
可 以 技术 上 设置 成 让 创业 者 直到 资助 款 达 到 一 定数 额 才 可 以 取出 。 然 而 ， 这 并 
不 能 阻止 已 经 成 功 筹集 到 钱 的 创业 者 携 款 潜逃 。 事 实 上 ， 即 使 在 现在 中 心 化 模 
式 下 ， 众 筹 网 站 也 有 一 些 骗局 ， 最 终 被 告 上 法 庭 。 在 去 中 心 化 模式 下 ,创业 者 
有 可 能 会 匿名 ,没有 被 法 律 诉 讼 的 威胁 ， 这 种 情况 下 骗局 一 定 更 多 。 很 难 想象 
技术 能 够 解决 这 个 难题 。 这 是 另 一 个 案例 ， 显 示 了 技术 只 能 解决 一 小 部 分 问题 。 
坦白 地 说 ， 技 术 能 解决 的 只 是 问题 中 无 趣 的 那 部 分 。 

小 结 一 下 ， 智 能 资产 的 问题 是 社会 性 的 ， 都 是 当 事 情 不 太 对 劲 时 引起 的 纪 
纷 。 在 所 有 参与 方 都 满意 的 前 提 下 ， 技 术 可 以 保证 交易 的 高 效 性 。 但 是 ， 拉 术 
无 法 解决 这 些 琼 手 的 纠纷 。 


智能 资产 的 优 缺 点 

正如 我 们 讨论 的 ， 在 一 些 传统 上 需要 人 们 介入 的 方面 ， 智 能 资产 不 容易 去 
中 心 化 。 事 实 上， 自动 化 可 能 让 去 中 心 化 更 加 困难 ， 因 为 调停 和 其 他 进程 都 是 
在 事件 发 生 后 才 出 现 ， 自 动 化 很 难 协 调 好 这 种 事后 出 现 的 不 正常 的 事件 。 最 后 ， 
智能 资产 产权 会 产生 新 的 问题 ， 比 如 在 汽车 的 例子 中 ,会 要 求 软件 和 人 硬件 都 
安全 。 

在 某 种 程度 上 ， 我 们 讨论 过 的 例子 只 是 一 个 完整 智能 资产 协议 的 缩 印 简化 
版 。 比 特 币 世界 中 的 很 多 提案 都 是 更 为 周全 与 细致 人 微 的 。 即 便 如 此 ， 在 我 们 
简单 的 案例 中 ， 我 们 还 是 可 以 分 辨 出 智能 资产 的 好 处 和 坏处 。 

智能 资产 的 最 大 优点 ， 就 是 能 够 在 任何 时 候 、 任 何 地 点 进行 高 效 的 所 有 权 
转让 。 对 于 像 智 能 手机 或 者 电脑 这 样 的 产品 ， 价 值 没有 汽车 那么 高 ， 如 果 有 和 争 
以 一 般 也 不 会 诉 诸 法 律 ， 所 以 使 用 智能 资产 没有 任何 坏处 。 对 于 这 些 产品 ， 不 
可 分 割 的 交易 是 一 种 有 用 的 安全 性 特性 。 

通过 区 块 链 的 智能 资产 也 可 以 提供 很 好 的 隐私 保护 甚至 匿名 服务 。 虽 然 我 
们 说 隐私 保护 会 让 解决 争议 变 得 复杂 化 ， 但 对 于 一 个 消费 者 信息 被 公司 滥用 的 
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fe 


第 11 章 
去 中 心 化 机 构 ， 比特 币 的 未 来 ? 


社会 ， 隐 私 保护 还 是 很 有 意义 的 。 在 某 些 情况 下 ， 不 需要 揭露 真实 身份 是 交易 
方 最 看 重 的 因素 。 这 在 中 心 化 的 中 介 模 式 下 是 不 可 能 的 。 

最 后 ， 去 中 心 化 的 模式 允许 目 由 选择 调停 者 。 即 使 我 们 对 法 律 系统 很 满意 ， 
大 多 数 争议 调停 是 由 像 维 桂 或 者 贝 宝 这 样 的 私人 公司 内 部 上 暗箱 操作 的 。 通 过 使 
用 可 蔡 代 的 模式 ， 让 调 俘 公开 区 和 争 ， 我 们 有 可 能 让 这 个 过 程 更 加 透明 公开 并 接 


受 公众 的 监督 。 


加 密 、 国 家 和 大 机 会 

岂 起 的 现代 国家 和 我 们 在 本 章 讨论 的 技术 的 目的 有 惊人 的 相似 。 在 从 氏族 
部 落 和 小 群体 发 展 出 来 的 现代 社会 ， 政 府 一 直 致 力 于 精确 地 解决 一 个 问题 : 让 
阳 生 人 安心 地 开展 商务 和 其 他 交互 活动 。 政 府 和 我 们 讨论 的 技术 ， 采 用 的 办 法 
也 许 大 不 相同 ， 但 是 目标 是 一 致 的 。 

尽管 马克 思 主 义 者 眼中 的 去 中 心 化 也 许 牵 扯 到 解散 国家 ， 但 解散 国家 这 种 
做 法 不 太 现 实 ， 尤 其 是 在 其 他 人 比如 民主 化 国家 的 人 民 也 希望 去 中 心 化 时 。 然 
而 ， 通 过 技术 去 中 心 化 并 不 一 定 会 和 国家 对 立 。 事 实 上 ,它们 可 以 相辅相成 。 
比如 ,假设 交易 双方 都 是 经 过 验证 的 ， 智 能 资产 的 交易 就 可 以 通过 区 块 链 技 术 
局 效 地 完成 ， 万 一 有 和 争议， 也 可 以 付 诸 法 律 。 我 们 认为 ,未 来 区 块 链 技 术 的 机 
会 就 在 于 ， 以 和 政府 功能 互补 的 方式 建立 去 中 心 化 ， 而 不 是 试图 替代 政府 。 

只 要 技术 存在 就 可 以 去 中 心 化 ， 这 种 想法 很 吸引 人 。 但 是 在 实际 操作 中 ， 
我 们 需要 找到 经 济 上 令 人 信服 的 理由 ， 比 如 说 政府 的 监管 过 于 繁杂 和 低 效 ， 或 
背 权 力 失 衡 寻 致 的 权力 滥用 。 举 个 例子 ， 很 多 非洲 国家 的 居民 已 经 用 “手机 分 
钟 ”(cell phone minutes) 作为 实际 上 的 货币 ， 这 样 的 货币 脱离 了 政府 的 控制 ， 
也 避免 了 相应 权力 的 滥用 。 

总 结 一 下 ， 我们 在 本 章 描 绘 了 去 中 心 化 的 技术 蓝图 ， 也 批判 性 地 探讨 了 去 
中 心 化 的 动因 。 我 们 鼓励 大 家 寻找 去 中 心 化 更 有 说 服 力 的 案例 ， 特 别 是 把 现 有 
法 律 和 监管 实践 融合 在 一 起 的 好 案例 。 
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CONCLUSION | 结束 话 


有 些 人 因为 其 底层 技术 而 对 比特 币 感 兴趣 ， 男 外 一 些 人 对 它 的 商业 可 能 性 
着 迷 ， 还 有 一 些 人 关心 它 的 社会 和 政治 影响 。 理 性 的 人 可 能 不 同意 后 面 两 类 人 
的 观点 。 但 是 我 们 希望 这 本 书 能 够 让 你 知道 ， 比 特 币 在 技术 上 是 有 深度 的 、 创 
新 的 、 有 趣 的 ， 而 且 是 建立 在 正确 理论 上 的 。 我 们 才刚 刚 开 始 开 拓 比 特 币 之 外 
令 人 炫目 的 男 类 加 密 货 币 ， 其 中 的 某 些 加 密 货 币 也 许 有 一 天 甚至 超越 比特 币 。 

我 们 选择 深入 研究 比特 币 ， 是 因为 我 们 坚信 技术 的 力量 。 我 们 坚信 比特 币 和 
其 他 计算 机 科学 有 很 深 的 联系 。 我 们 重点 突出 了 有 潜力 的 新 技术 是 如 何 试 图 取代 
已 有 组 织 机 构 的 。 我 们 相信 ， 人 类 还 会 继续 找到 加 密 贷 币 技 术 在 新 的 商业 和 社会 领 
域 里 的 有 益 应 用 。 即 使 你 的 兴趣 主要 在 于 它 的 商业 化 ， 你 也 能 从 了 解 掌握 它 的 底层 
技术 中 获 益 。 而 了 解 它 的 能 量 和 限制 ， 有 助 于 你 在 市 场 的 浪潮 起 伏 中 顺应 时 势 。 

未 来 何 往 ? 去 中 心 化 的 好 处 之 一 ， 就 在 于 它 是 一 个 极 佳 的 实验 和 学 习 的 平 
台 。 任 何人 都 可 以 下 载 安 装 和 分 析 比 特 币 的 区 块 链 ， 或 者 在 此 之 上 建立 自己 的 
应 用 。 我 们 希望 你 也 能 充分 利用 这 些 机 会 。 

我 们 制作 了 许多 教材 的 网 络 辅 助 材料 。Coursera 网 上 课程 DD (www. 
coursera. org/course/bitcointech) 包含 了 根据 本 书 录制 的 视频 课程 ， 还 有 测验 和 
一 些 编程 作业 (在线 资 料 链接 为 http: //press. princeton. edu/titles/10908. html ) 。 
参加 这 个 网 络 课程 还 可 以 让 你 和 志同道合 的 学 习 者 一 起 在 线 讨 论 。 


中 免费 大 型 公开 在 线 课程 项 目 ， 由 美国 斯 坦 福 大 学 两 名 计算 机 科学 教授 ( Andrew Ng 和 Daphne 
Koller) 创办 。 旨 在 同志 界 项 尖 大 学 合作 ， 在 线 提供 免费 的 网 络 公 开课 程 。Coursera 的 首 批 合作 院 
校 包 括 斯 坦 福 大 学 、 密 歇 根 大 学 、 普 林 斯 顿 大 学 、 宾 夕 法 尼 亚 大 学 等 美国 名 校 。 译 者 注 





wNv ai bbt.com ODDODDOD 





379 


wNv ai bbt.com DODODDDDD 





Advanced Encryption Standard 高 级 加 密 标准 (简称 AES) 

altcoin infanticide 另类 币 天 折 

Altcoin 另类 币 

anonymityset 匿名 集 

anonymous marketplace 匿名 市 场 

Anti-Money Laundering 反 洗钱 (简称 AML) 

append-only ledger 仅 增 账目 

Application Programming Interface 应 用 程序 编程 接口 (简称 APT) 
Application Specific Integrated Cireuits 专用 集成 电路 技术 (简称 ASIC) 
Arithmetic Logic Units 算术 逻辑 单元 (简称 ALU) 

ASIC-resistant puzzles 有 反 ASIC 解 迹 算法 

asymmetric information 信息 不 对 称 

atomic cross-chain swaps 原子 型 交叉 链 互 换 

Basecoin 基础 币 


bent corner theory 折 角 论 


| 术语 表 


Berkeley Open Infrastructure for Network Computing 伯克利 开放 式 网 络 计算 平台 (简称 BOINC) 


birthday paradox 生日 悖 论 

bit fiddling 数位 操作 

bitcoin core 比特 币 核心 钱包 

Bitcoin Foundation 比特 币 基金 会 

Bitcoin Improvement Proposal 比特 币 改 进 方案 (简称 BIP) 
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bitcoin mining 比特 币 挖 矿 

bitcoindlibrary 比特 币 官方 客户 端的 资源 库 
bitcoin-qt library 比特 币 类 库 ， 现 在 又 称 为 比特 币 中 心 (bitcoin core) 
bitlicense 比特 币 牌 照 

block chain 区 块 链 

blockchain. info 区 块 链 信息 公司 
block-discarding attack 区 块 丢 弃 攻 击 
bootstrapping 自 举 过 程 

brain wallet 大 脑 钱包 

bytecode 字 廊 公 

Byzantine Generals Problem 拜占庭 将 军 问题 
change address 零钱 地 址 

chunk size 块 大 小 

clustering of addresses 地 址 簇 

CoiledCoin 盘旋 币 

coin center 货币 中 心 

Coinbase 比特 币 基 地 公司 

Coinjoin 合 币 

coinstake transaction 有 币 拥有 量 交易 
collision-resistance 碰撞 阻力 

collusion 串 谋 

Colored Coins 染色 币 

Commit Coin 承诺 币 

commitment 承诺 

compatibility 兼容 性 

compression function 压缩 函数 

concensus chain 共识 链 

consensusalgorithm 共识 算法 

considating funds 资金 合并 

Counterparty 合约 币 
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术语 表 


CreateCoins 造 币 

cryptocurrencyecosystem 加 窑 货 币 生 态 系 统 
crypto-currency 加 密 数 字 货 币 

cryptographic beacons 密码 学 “信和 号 塔 ” 

cryptographic guarantees 加 密 学 保证 

Cunningham chain 坎 宁 安 链 

cypherpunk 密码 朋克 

Dark Coin 黑暗 币 

data furnace 数据 火炉 

deanonymized 暴露 

decentralized mixing 分 布 式 混 币 

default strategy 默认 策略 

digital cash 数字 货币 

digital signatures 数字 签名 

distributed consensus 分 布 式 共识 

distribution with high min-entropy 最 小 信息 燃 分 布 特 性 
Dogecoin 狗 币 

double spending 双重 支付 

ECDSA 椭圆 曲线 数字 签名 算法 

efficient micro-payments 高 效 小 额 文 付 

encoding keys 编码 解码 

escrow transaction 第 三 方 支付 交易 
Ethereum-specificVirtualMachine 以 太 坊 专用 虚拟 机 (简称 上 EVM) 
Ethereum 以 太 坊 

feather forking 羽 量 级 分 又 

Field-Programmable Gate Array 现场 可 编程 门 阵 列 (简称 FPCA ) 
Fischer-Lynch-Paterson impossibility result 不 可 能 性 结论 
flooding algorithm 泛 洪 算法 

flooping protocol 泛 洪 协议 

forking attack 分 义 攻 击 
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Don 区 块 链 ， 技 术 驱 动 金 融 


frontrunning 预先 交易 

fully validating nodes 完全 有 效 节 点 

fungibility 可 互 换 性 

Futurecoin 未 来 币 

GenCoin 生成 货币 

genesis block 创 世 区 块 

getblocktemplate 获取 有 效 区 块 模版 (简称 GBT) 
GoofyCoin 高 飞 币 

Great Internet Mersenne Prime Search 互联 网 梅森 质数 大 搜索 (简称 GIMPS) 
green addresses 绿色 地 址 

Hash 哈 希 算法 

hash collision 哈 希 人 碰撞 

hash pointer 哈 希 指针 

hash power 哈 希 算 力 

hash puzzles 哈 希 解 迹 

hash rate 哈 和 希 速度 / 哈 希 率 

hashes of public keys 公 钥 哈 希 值 

hiding 隐秘 性 

hierarchical deterministic wallet 分 层 确 定性 钱包 
high min-entroy 高 阶 最 小 炳 
high-level flows 高 风险 交易 流 

idioms of use 惯用 法 则 

implicit consensus 隐 性 共识 

instawallet 一 种 在 线 钱包 

joint payments 共同 支付 

key stretching 密 钥 延展 

key-value 键 值 

know Your Customer 了 解 你 的 客户 (简称 KYC) 
Large Hadron Collider 大 型 强 子 碰撞 (简称 LHC ) 
laundering hashes 洗 算 力 
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laundry 洗钱 

lemons market 柠檬 市 场 / 次 品 市 场 

lightweight nodes 轻 量 节点 

Linear Feedback Shift Registers 线性 反馈 移 位 寄存 器 (简称 LFSR ) 
linking 关联 性 

Litecoin 莱特 币 

lock_time 锁定 时 间 

locking mechanisms 加 锁 机 人 制 

mandatory reporting 强制 上 报 

megajoules 兆 焦 耳 ， 百 万 焦耳 

megawatt 兆 瓦 ， 百 万 瓦特 

memory-bound puzzles 内 存 限制 解 迹 
memory-hard mining puzzle 记忆 储存 体 挖 矿 迹 题 
memory-hard puzzles 刚性 内 存 解 迷 

memoryless process 无 记忆 进程 的 

merge avoidance 合并 规避 

mergemining 共同 控 矿 

Merkle trees 梅 克 尔 树 

Merkle-Damgard transform MD 变换 

mining shares 控 矿 工分 

Mix net 混 币 网 络 

Mixing 混 币 

modular addition 模 加 法 运算 

multisignatures 多 重 签名 

Namecoin 域名 币 

niche currency 利 基 货 币 

nonce 临时 随机 数 

opcode 操作 码 

Open Computing Language 开放 运算 语言 (简称 OpenCL) 
open protocol 开放 协议 
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OpenAseet 开放 资产 

open-source project 开源 项 目 

open-source software 开源 软件 

open-source system 开源 系统 

orphan block 孤 块 

overlay currencies 附着 币 

parent node 父 节 点 

partial hash-preimage puzzle 不 完全 喻 希 明 数 原 像 解 迹 
partial preimage 不 完全 原 像 

PayCoins 付 币 

paying for a proof 支付 证 明 费 用 

pay-to-pubkey-hash 标准 的 比特 币 转 账 流 程 /支付 到 比特 币 地 址 的 标准 交易 
Pay-to-script-hash 支付 给 脚本 的 哈 希 值 (简称 P2SH ) 
Permacoin 永久 币 

Petabytes 拍 字 节 (简称 PB) 

Pigeonhole Principle 铝 梨 原理 

pool hopping 矿 池 跳 换 

Primecoin 质数 币 

private key 私 钥 

progress free 无 关 过 程 的 

proof of burn 销毁 证 明 

proof of Liabilities 负债 证 明 

Proof of membership 隶属 证 明 

Proof of non-membership 非 隶 属 证 明 

proof of Reserve 准备 金 证 明 

proof of retrievabitlity 可 恢复 性 证 明 

proof of storage 存储 量 证 明 

proof of “clairvoyance” 未 来 预测 证 明 

proof-of-stake 权益 证 明 
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proof-of-workskiplist 工作 证 明 跳 表 
proof-of-work 工作 量 证 明 

protein folding 和 蛋白质 折 芍 

provision 准备 金 

pseudocode 伪 代 码 

pseudonymity 化 名 

Pseudo-Random Generator 伪 随 机 数 发 生 器 (简称 PRG) 
publickey 公 钠 

pull requests 提交 请 求 

Pump-and-dumpscams 拉 高 出 货 骗 术 

punitive forking 惩罚 分 义 

puzzle-friendliness 恋 题 友好 

Quick Response code QR 码 

race condition 竞 态 条 件 

radio telescope 射电 望远镜 

Random Acess Memory 随机 存 取 存储 右 (简称 RAM ) 
randomness beacons 随机 数 “ 信 号 塔 ” 

real scripts 实际 脚本 

reality keys 现实 密 钥 

replace-by-fee 替代 策略 

reputation system 信誉 评价 系统 

Request for Comments 评议 请 求 (人 简称 RFC) 
root 树 根 节点 

Satoshi bones 中 本 聪 骨头 

Satoshi Dice 中 本 聪 之 骨 

Satoshi Nakamoto 中 本 聪 

save up 草 力 

scriptPubKey 输出 脚本 

scriptSig 输入 脚本 

ScroogeCoin 财 奴 币 
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Secure Hash Algorithm 256 安全 哈 希 算法 (简称 SHA -256) 
secure timestamping 安全 时 间 玲 

selfish mining 自私 挖 矿 

sidechains 侧 链 

sidechannels 蔚 路 攻击 

Simple Mail Transfer Protocol 简单 邮件 传输 协议 (简称 SMTP) 
Simple Payment Verification 简单 付款 验证 〈 简 称 SPV ) 
smart Contracts 智 能 全 维 

spare cycle 空闲 周期 

stack-based programming language 堆栈 式 编 程 语言 
stake-grinding attacks 股权 粉碎 攻击 

stratum 层 

sybil attack 女巫 攻击 

laintanalysis 污点 分 析 

lamper-resistant device 防 损人 硬件 

temporary block-withholding attacks 临时 保留 区 块 攻击 
the 51 percent attack 51% 攻击 

the head of list 链表 头 部 

the nothing-at-stake problem 无 利害 关系 问题 

threshold cryptography 门限 密码 

threshold signature 门限 签名 

Tinkerbell effect 仙子 效应 

transaction syntax 交易 语法 

transaction graph analysis 交易 图 谱 分 析 

tumbler 翻 洗 

uniform transactions 一 致 性 区 多 

uniqueCoinID 唯一 的 货币 编号 

unlinkability 无 关联 性 

vanity addresses 虚 采 地 址 

virtual currency 虚拟 货币 
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蒙 凯 龙 ， 点 石 资产 管理 创始 人 ， 厦 门 拾 钱 论 道 资 产 管理 公司 执 委 会 主席 ， 
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问 。 注 册 金 融 分 析 师 〈CFA) ， 金 融 风险 管理 师 (FRM)， 经济 和 计算 机 双人 硕士 ， 
金融 博士 生 。 曾 任 联 想 控股 旗下 P2P 沟 龙 贷 副 总 裁 ， 互联 网 金融 干 人 会 执行 秘 
书 长 ， 德 意志 银行 (美国 ) 战略 科技 部 副 总 裁 ， 美国 能 源 公司 MXEnergy 风 控 经 
理 ,， 美国 休斯顿 大 学 商学 院 金 融 系 助理 教授 。《 金 融 时 报 》( 中 文 版 )、《 新 浪 财 
经 》 等 财经 媒体 的 专栏 作者 ， 曾 发 表 多 篇 关于 互联 网 金融 的 文 草 。 编 辑 出 版 
《智慧 众 筹 : 互联 网 金融 早餐 会 》 一 书 。 


许 余 洁 ， 现 任 联合 信用 评级 有 限 公 司 研 究 总 监 ， 中 国资 产 证 券 化 研究 院 首 
席 研 究 员 ， 西 南 财 经 大 学 特聘 研究 员 。2013 年 7 月 起 供职 于 中 国 证 监 会 研究 中 
心 (2015 年 更 名 为 中 证 金融 全 究 院 ) ， 暨 证 监 会 博士 后 科 人 研 工作 站 与 清华 大 学 
五 道口 金融 学 院 联合 培养 博 十 后 。2014 年 从 事 明 斯 基 《 稳 定 不 稳定 的 经 济 》 一 
书 中 文 版 的 翻译 校 稿 工作 。 近 年 来 ,在 《人 民 日 报 》、《 金 融 法 郊 》、《 中 国 金 
融 》、《 工 业 技 术 经 济 》、《 中 国 经 济 报告 >》、《 中 国 证 券 报 》 等 报刊 杂志 上 发 表 文 
草 30 余 篇 ， 并 以 笔名 “ 余 言 力 ”在 财 新 博客 上 坚持 撰写 100 篇 读书 心得 ， 广 为 
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李 炮 光 ， 中 国人 民 大 学 财政 金融 学 院 经 济 学 硕士 ， 特 许 金融 分 析 师 
(CFA) ， 中 国 注册 会 计 师 〈CPA) 。 现 就 职 于 某 合资 证 券 公 司 ， 担 任 结构 融 贷 总 
监 ， 负 责 境 内 资产 证 券 化 、REITs 及 结构 化 金融 产品 的 设计 与 发 行 ， 并 参与 跨 境 
证 券 化 产品 与 REITs 的 研究 或 顾问 工作 ， 成 功 完成 或 执行 的 资产 类 型 履 盖 商业 
及 工业 地 产 、 应 收 账 款 、 银 行 信贷 、 消 费 金 融 、 租 赁 资产 、 公 共事 业 收 费 权 等 。 
在 此 之 前 ， 曾 就 职 于 某 行业 领先 的 内 资 证 养 公司 资产 管理 部 、 四 大 国有 银行 总 
行 ,， 长 期 从 事理 财 与 资金 池 投 资 管理 、 结 构 化 投 融 资 相关 工作 ， 并 担任 中 国资 
产 证 券 化 研究 院 研 究 员 ， 中 国资 产 证 券 化 论坛 理事 及 教育 委员 会 委员 。 


高 晓 婧 ， 毕 业 于 北京 外 国语 大 学 身 汉 同 声 传译 专业 ; 曾 就 职 于 华夏 银行 总 
行 理财 业务 管理 部 门 ， 现 就 职 于 兴业 银行 总 行 投资 银行 部 ; 具有 多 年 泛 资 管 领 
域 从 业经 验 ， 目 前 主要 研究 领域 包括 : 银行 理财 、 谤 资 管 及 资产 证 券 化 业务 。 


洪 洗 ，CFA， 现 任职 于 中 泰 证 券 债券 与 结构 金融 部 ， 负 责 信贷 资产 证 券 化 
和 企业 资产 证 券 化 业务 。 曾 任职 于 中 国 对 外 经 济 贸易 信托 有 限 公司 ， 在 信托 公 
司 建立 了 全 流程 的 服务 体系 。 负 责 或 参与 十 余 单 公募 、 私 募 资产 证 券 化 项 目 。 
北京 大 学 理学 博士 ， 中 国资 产 证 券 化 研究 院 特聘 研究 员 。 
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会 出 科技 会 不 会 改变 我 们 当前 的 社会 和 经 济世 界 ， 甚 至 是 全 球 政 治 格局 ? li “ 执 的 区 块 链 技术 


i 


相关 的 一 个 重要 问题 。 对 此 ， 大 家 肯定 会 有 多 元 化 的 视角 和 不 同 的 答案 。 如 果 你 也 感 兴趣 ， tem" vi ni 


是 很 得 的 。 妆 然 ， 同 读本 书 有 一 定 的 和， 十 要 具 和 可 密友 学 、 计 算 机 科学 、 经 济 学 金融 学 、 二 认 
以 及 网 络 科 学 竺 领域 的 基础 知识 。 但 是 ,金融 从 业 人 员 中 的 精英 ， 可 以 尝试 这 种 智力 挑战 ， 通 过 区 块 链 的 去 中 心 、 
I 本 【〈 市 点 ) 的 “全 氏 参 与 ”， 为 谋求 | -大 公众 的 利益 重 逆 金融 服务 业 
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区 块 链 将 成 为 金融 科技 的 底层 技术 ， 它 最 有 可 能 低 成 本 地 解决 金融 活动 的 信任 难题 。 由 于 其 加 密 算 法 特性 ， 
区 块 链 将 使 金融 发 展 进 入 算法 金融 时 代 J 蕊 也 击 要 规范 ， 石 则 会 成 为 做 期 货 交 易 ， 其 至 进行 非法 集资 和 高 
杠杆 区 易 等 违法 或 非法 金融 后 动 的 来 源 。 本 书 非 常 专业 ， 系 统 地 阐述 了 比特 币 和 区 块 链 技术 的 方方面面 ， 并 明确 
此 出 比 畦 币 与 其 他 失败 了 的 数字 电子 货币 相 比 ， ge 三 区 块 链 来 实现 去 中 心 化 。 本 书 对 于 关心 金 
融 村 拉 的 市 场 和 监管 人 员 ， 以 及 理论 研究 人 员 均 具有 很 好 的 参考 价值 


划 信 义 

本 书 主要 介绍 了 比特 币 在 技术 层面 的 运作 模式 ， RAR 有、 
块 链 。 我 们 看 到 ,一些 基于 区 块 链 的 科技 创业 公司 已 经 开始 慢 慢 地 触及 金融 服务 市 场 的 痛 点 ， 它 们 为 包括 银行 、 
保险 在 内 的 机 构 客 户 提 供 解 决 方案 Weber gi 丸 链 可 以 使 它们 寻找 新 的 契机 ， 从 而 得 到 
新 的 发 展 机 会 。 这 本 书 为 我 们 部 分 揭示 了 区 块 链 等 金融 科技 的 具体 应 用 、 运 行 机制 和 可 能 的 未 来 





引导 目 

TE 对 比特 让 的 运行 机 制 和 底层 技术 进行 了 最 全 面 的 阐述 。 这 部 普林斯顿 大 学 教材 原本 
主 一 组 倪 费 大 型 公开 在 线 课程 ， 设 课程 反响 极 好 ， 学 习 者 众多 ， 原 著作 者 为 我 们 打造 了 一 个 极 佳 的 实验 和 学 习 的 
各, 他们 项 望 任何 人 都 可 以 FE 互联 网 时 代 , 根据 自己 的 需要 来 学 习 , 大 家 都 可 以 下 载 安 装 和 分 析 比 特 币 的 区 块 链 ， 
atte 这 完 伞 符合 区 块 链 “二 中 心 化 ” 的 理念 
唐 本 

于 区 块 链 技术 的 电子 货币 正在 闯 窗 我们 的 金融 世界 ， 而 我 们 知道 ， 比 特 币 只 是 区 块 链 技 术 的 第 一 个 重量 级 

应 用 ， 现在 已 经 有 越 来 越 多 的 应 用 构建 1 二 区 块 链 技术 之 上 。 如 果 你 对 比特 币 的 底 后 :技术 ( 禾 但 学、 于 算 机 科学 和 
区 块 链 ) 感 兴 趣 ， 或 是 对 比特 币 在 商业 和 社会 领域 的 可 能 应 用 着 迷 ， 或 者 想 了 解 比 特 币 之 外 的 令 人 炫目 的 另类 加 
党 贷 由， 这 本 书 都 会 是 一 个 不 错 的 选择 
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